# Barbie Downloader > [!medium] Dropper do APT-C-23 - Primeiro Estágio da Operação Bearded Barbie > Barbie Downloader é o primeiro estágio da cadeia de infecção do APT-C-23 (Arid Viper), entregue via engenharia social em Facebook. Verifica o ambiente da vítima antes de baixar o [[barbwire-backdoor]] completo, garantindo que apenas alvos relevantes recebam o payload final. ## Visão Geral Barbie Downloader é o dropper de primeiro estágio usado pelo grupo [[g1028-apt-c-23]] (Arid Viper) na [[operation-bearded-barbie]], documentada pela Check Point Research em 2022. O papel do downloader é duplo: primeiro, verificar se o ambiente comprometido é um alvo válido (evitando instalação em máquinas de pesquisadores de segurança); segundo, baixar e executar o [[barbwire-backdoor]] completo. O malware é entregue como arquivo executável disfarçado de instalador ou aplicativo legítimo, enviado via Facebook Messenger após semanas de engenharia social. O nome "Barbie" refere-se ao tema da operação e ao uso de perfis femininos fictícios como isca. A fase de verificação inclui checagens anti-análise e anti-sandbox: o downloader verifica o número de processos em execução (ambientes sandbox frequentemente têm poucos processos), presença de ferramentas de análise e características do hardware. Somente se as verificações passarem o downloader prosseguirá para contato com o servidor C2 e download do BarbWire Backdoor. Como parte da cadeia de infecção, o Barbie Downloader estabelece um foothold inicial mínimo - difícil de detectar isoladamente - enquanto garante que o implante completo de longa duração seja instalado apenas em alvos confirmados. Este padrão de operação em dois estágios é característico de operações de espionagem sofisticadas que priorizam sigilo sobre escala. ## Attack Flow ```mermaid graph TB A["📱 Arquivo Malicioso<br/>Disfarçado de app legítimo"] --> B["🔍 Verificação Anti-Sandbox<br/>Checa processos e ambiente"] B --> C{"Alvo válido?"} C -- "Sim" --> D["📡 Contato C2<br/>Download do BarbWire"] C -- "Não (sandbox)" --> E["💤 Nao age<br/>Evita detecção"] D --> F["💀 BarbWire Backdoor<br/>Instalacao do implante completo"] F --> G["🎙️ Espionagem Completa<br/>Audio + Screenshot + Keylog"] ``` *Segundo estágio: [[barbwire-backdoor]] · Campanha: [[operation-bearded-barbie]]* ## Técnicas MITRE ATT&CK | ID | Técnica | Fase | Descrição | |----|---------|------|-----------| | T1566.001 | Spearphishing Attachment | Acesso Inicial | Arquivo enviado via Facebook Messenger | | T1204.002 | Malicious File | Execução | Usuário executa instalador falso | | T1497 | Sandbox/VM Evasion | Evasão | Verificações de processo e ambiente | | T1036 | Masquerading | Evasão | Disfarçado de instalador ou app legítimo | | T1105 | Ingress Tool Transfer | C2 | Download do BarbWire do servidor C2 | | T1082 | System Info Discovery | Reconhecimento | Coleta info do sistema para qualificação | | T1057 | Process Discovery | Reconhecimento | Conta processos para detectar sandbox | ## Verificações Anti-Análise ```mermaid graph TB subgraph Verificacoes do Ambiente PROC["Contagem de Processos<br/>Sandbox tem menos processos"] HW["Hardware Check<br/>CPU cores, RAM, disco"] TOOLS["Ferramentas de Análise<br/>Wireshark, IDA, etc"] TIME["Timing Checks<br/>Velocidade de execução"] end subgraph Decisao PASS["Ambiente real<br/>Prossegue para C2"] FAIL["Possível sandbox<br/>Nao age - evita detecção"] end PROC --> PASS HW --> PASS TOOLS --> FAIL TIME --> FAIL PROC --> FAIL ``` *Técnicas: [[t1497-virtualization-sandbox-evasion|T1497]] · [[t1036-masquerading|T1036]] · [[t1105-ingress-tool-transfer|T1105]]* ## Contexto da Operação Bearded Barbie O Barbie Downloader faz parte de uma cadeia de infecção elaborada que inclui: 1. Perfis falsos no Facebook com identidades femininas convincentes 2. Semanas de comunicação para estabelecer confiança 3. Envio do Barbie Downloader disfarçado 4. Verificação do ambiente pela vítima 5. Deploy do [[barbwire-backdoor]] completo em alvos confirmados Além de Windows, a operação também incluía o SpyNote para dispositivos Android, demonstrando capacidade cross-platform do grupo. ## Detecção e Defesa **Indicadores comportamentais:** - Arquivo executável recebido via aplicativo de mensagens sociais - Processo recém-criado realizando múltiplas queries de System Info - Conexão HTTP para domínio desconhecido após execução de arquivo suspeito - Processo enumerando lista de processos em execução de forma incomum **Mitigações recomendadas:** - Treinar usuários sobre riscos de executar arquivos recebidos por redes sociais - Política organizacional restringindo instalação de software não corporativo - [[m1049-antivirus-antimalware|EDR]] com análise comportamental de novos processos - Sandboxing automático de arquivos executáveis recebidos por email/messenger - Monitorar consultas de System Information por processos desconhecidos ## Referências - [1](https://research.checkpoint.com/2022/operation-bearded-barbie-apt-c-23-campaign-targeting-israeli-officials/) Check Point Research - Operation Bearded Barbie (2022) - [2](https://attack.mitre.org/groups/G0130/) MITRE ATT&CK - APT-C-23 Group G0130 (2023) - [3](https://www.welivesecurity.com/2022/02/14/ongoing-apt-c-23-cyberespionage-campaign/) ESET WeLiveSecurity - APT-C-23 Campaign Analysis (2022)