# ServHelper > Tipo: **malware** · S0382 · [MITRE ATT&CK](https://attack.mitre.org/software/S0382) ## Descrição [[s0382-servhelper|ServHelper]] é um backdoor escrito em Delphi, entregue geralmente como um arquivo DLL, observado pela primeira vez no final de 2018 nas operações do [[ta505|TA505]] - grupo de crimes cibernéticos prolífico associado à distribuição de ransomware Clop e múltiplos malwares bancários. O [[ta505|TA505]] distribui o [[s0382-servhelper|ServHelper]] via campanhas de email de phishing em larga escala, frequentemente usando documentos maliciosos com macros ou URLs que levam a instaladores falsos. O [[s0382-servhelper|ServHelper]] possui dois modos de operação documentados: um modo "tunnel" que estabelece um canal SSH reverso para permitir acesso RDP ao sistema comprometido através do C2, e um modo "bot" mais tradicional com funcionalidades de backdoor completas. O modo tunnel é particularmente sofisticado porque utiliza o protocolo SSH legítimo - criptografado e tipicamente permitido por firewalls - para tunelizar tráfego RDP, criando um canal de acesso remoto práticamente indistinguível de tráfego legítimo de administração. O malware cria contas locais com nomes que imitam contas legítimas do sistema ([[t1036-010-masquerade-account-name|T1036.010]]) e adiciona essas contas a grupos privilegiados ([[t1098-007-additional-local-or-domain-groups|T1098.007]]) para garantir acesso persistente mesmo que o binário do malware sejá removido. A comunicação usa criptografia assimétrica ([[t1573-002-asymmetric-cryptography|T1573.002]]) e o malware se deleta automaticamente ([[t1070-004-file-deletion|T1070.004]]) em determinadas condições para reduzir a pegada forense. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1573-002-asymmetric-cryptography|T1573.002 - Asymmetric Cryptography]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1136-001-local-account|T1136.001 - Local Account]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1021-001-remote-desktop-protocol|T1021.001 - Remote Desktop Protocol]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1036-010-masquerade-account-name|T1036.010 - Masquerade Account Name]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1218-011-rundll32|T1218.011 - Rundll32]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1098-007-additional-local-or-domain-groups|T1098.007 - Additional Local or Domain Groups]] ## Grupos que Usam - [[ta505|TA505]] ## Detecção - Auditar contas locais recém-criadas e verificar se seus nomes imitam contas de sistema legítimas - Monitorar conexões SSH de saída a partir de sistemas que normalmente não usam SSH - Detectar sessões RDP tunneladas (tráfego RDP encapsulado em SSH ou outras conexões) - Alertar sobre adição de contas a grupos de administradores por processos não administrativos - Monitorar `rundll32.exe` e tarefas agendadas criadas por processos de usuário para entrega de DLLs ## Relevância LATAM/Brasil O [[ta505|TA505]] é conhecido por campanhas em português direcionadas ao Brasil, distribuindo o [[s0382-servhelper|ServHelper]] e outros malwares via emails de phishing temáticos (boletos, notas fiscais, notificações de DETRAN). O modo tunnel SSH do ServHelper é especialmente perigoso em ambientes brasileiros que permitem tráfego SSH de saída sem inspeção, pois cria um canal de acesso RDP práticamente invisível para ferramentas de monitoramento tradicionais. Equipes de SOC brasileiras devem incluir detecção de SSH de saída incomum em suas regras de correlação. ## Referências - [MITRE ATT&CK - S0382](https://attack.mitre.org/software/S0382)