# Infected Mushroom > Tipo: **malware** · [Pesquisa de campo] ## Descrição [[s1072-infected-mushroom|Infected Mushroom]] é uma família de malware identificada em análises de ameaças recentes, associada a campanhas de comprometimento de organizações em setores específicos. O malware usa técnicas de obfuscação para dificultar análise estática e comúnica-se com servidores C2 via HTTP. Suas capacidades de backdoor são abrangentes: execução de comandos de shell, reconhecimento do sistema e descoberta de arquivos, transferência de ferramentas adicionais e persistência via registro do Windows - funcionalidades que suportam operações de espionagem e comprometimento prolongado. A obfuscação de código presente no Infected Mushroom indica um desenvolvedor com consciência de técnicas de análise e detecção, adaptando o malware para maximizar a jánela de operação antes de detecção e remoção. O uso de HTTP padrão para C2 complementa essa estratégia de evasão ao misturar tráfego malicioso com comúnicações web legítimas. A estrutura modular sugere capacidade de expansão funcional via download de módulos adicionais do C2. O nome "Infected Mushroom" pode referênciar a banda israelense de música eletrônica do mesmo nome - uma prática comum na comunidade de malware de nomear ferramentas com referências culturais para dificultar busca e rastreamento. A combinação de ofuscação com comunicação HTTP padrão posiciona o Infected Mushroom como uma ferramenta de uso geral que pode ser empregada em diferentes tipos de campanha dependendo dos objetivos do operador. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] ## Detecção A detecção do Infected Mushroom requer análise dinâmica para superar a obfuscação. Sandboxes com capacidade de inspecionar comportamento de tempo de execução - acesso ao registro, conexões de rede, criação de processos filhos - são eficazes. No endpoint, monitorar execução de código obfuscado em PowerShell ou via interpretadores de script (wscript, cscript) e correlacionar com conexões de rede subsequentes é um indicador comportamental composto. Ferramentas de EDR com análise de memória podem detectar código deobfuscado em memória. ## Relevância LATAM/Brasil Backdoors com obfuscação como o Infected Mushroom representam uma classe de ameaças amplamente utilizada no Brasil. A combinação de ofuscação com HTTP C2 é um padrão que grupos de crime cibernético brasileiros e internacionais usam consistentemente em ataques a empresas locais. Defesas baseadas em comportamento e análise de tráfego de rede são os controles mais eficazes no contexto brasileiro. ## Referências - [MITRE ATT&CK - T1027](https://attack.mitre.org/techniques/T1027/)