# SharpStage > Tipo: **malware** · S0546 · [MITRE ATT&CK](https://attack.mitre.org/software/S0546) ## Descrição [[s0546-sharpstage|SharpStage]] é um malware .NET com capacidades de backdoor utilizado pelo [[g0021-molerats|Molerats]] - grupo de espionagem cibernética associado a operações palestinas, ativo principalmente no Oriente Médio e com histórico de alvos em governos árabes, organizações de mídia e acadêmicos. O [[s0546-sharpstage|SharpStage]] foi identificado em campanhas de 2020 e 2021, frequentemente distribuído junto com outros malwares do arsenal do [[g0021-molerats|Molerats]] como o [[s0547-dropbook|DropBook]] e o LastConn. O [[s0546-sharpstage|SharpStage]] utiliza serviços web legítimos ([[t1102-web-service|T1102]]) - específicamente Dropbox - tanto para armazenamento de dados exfiltrados quanto como canal de comando e controle, o que torna o tráfego malicioso virtualmente indistinguível de uso legítimo do serviço por soluções de monitoramento baseadas em IP/domínio. Uma característica operacional interessante é a verificação do idioma do sistema ([[t1614-001-system-language-discovery|T1614.001]]) - o malware verifica se o árabe está instalado como idioma antes de executar, garantindo que estejá em um sistema de interesse geográfico para os operadores. O malware realiza capturas de tela ([[t1113-screen-capture|T1113]]) para espionagem visual, executa comandos PowerShell e via shell de comando, e utiliza WMI ([[t1047-windows-management-instrumentation|T1047]]) para descoberta e execução. A persistência é mantida via múltiplos mecanismos - chaves Run do registro e tarefas agendadas - garantindo redundância. O uso de deobfuscação em runtime ([[t1140-deobfuscatedecode-files-or-information|T1140]]) protege o payload de análise estática. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1102-web-service|T1102 - Web Service]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1614-001-system-language-discovery|T1614.001 - System Language Discovery]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] ## Grupos que Usam - [[g0021-molerats|Molerats]] ## Detecção - Monitorar comúnicações de processos .NET com APIs do Dropbox, especialmente download/upload de binários - Detectar captura de tela periódica por processos de background não relacionados a videoconferência - Alertar sobre verificação de configuração de idioma do sistema por processos suspeitos - Implementar inspeção de tráfego TLS para detectar uploads de dados a serviços de nuvem por processos não esperados - Monitorar WMI queries executadas por processos não administrativos como indicador de discovery ## Relevância LATAM/Brasil O modelo de C2 via Dropbox do [[s0546-sharpstage|SharpStage]] é uma técnica amplamente adotada por grupos de espionagem que operam globalmente, incluindo aqueles com interesse na América Latina. O Brasil mantém relações diplomáticas e acordos de cooperação com países do Oriente Médio, e representações diplomáticas desses países no Brasil - assim como brasileiros que trabalham com questões do Oriente Médio - podem ser alvos de interesse para grupos como os [[g0021-molerats|Molerats]]. Organizações brasileiras de mídia que cobrem o conflito Israel-Palestina devem considerar este vetor de ameaça. ## Referências - [MITRE ATT&CK - S0546](https://attack.mitre.org/software/S0546)