# Lucifer > Tipo: **malware** · S0532 · [MITRE ATT&CK](https://attack.mitre.org/software/S0532) ## Descrição [[s0532-lucifer|Lucifer]] é um malware híbrido de mineração de criptomoeda e DDoS que combina exploração de vulnerabilidades conhecidas com credenciais fracas para se propagar automaticamente em redes Windows. Descoberto pelo Palo Alto Unit 42 em 2020, o Lucifer usa exploits públicos de múltiplas CVEs críticas incluindo EternalBlue (MS17-010), EternalRomance, DoublePulsar e outras vulnerabilidades de execução remota de código para comprometer sistemas e expandir sua botnet. O Lucifer realiza mineração de criptomoeda Monero (XMR) via sequestro de recursos de computação ([[t1496-001-compute-hijacking|T1496.001]]) e lança ataques DDoS contra alvos designados pelo operador. A propagação usa transferência lateral de ferramentas ([[t1570-lateral-tool-transfer|T1570]]) após comprometer hosts via exploits. O malware estabelece persistência via Registry Run Keys ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) e Scheduled Task ([[t1053-005-scheduled-task|T1053.005]]), além de limpar Event Logs ([[t1070-001-clear-windows-event-logs|T1070.001]]) para dificultar a investigação. Verificações anti-sandbox ([[t1497-001-system-checks|T1497.001]]) e empacotamento de software ([[t1027-002-software-packing|T1027.002]]) protegem o payload contra análise. O modelo de dupla funcionalidade - mineração passiva para receita constante e DDoS sob demanda como serviço - reflete a evolução das botnets modernas para múltiplos fluxos de monetização. Sistemas Windows sem patches de segurança no Brasil e na América Latina, especialmente em PMEs e órgãos públicos com infraestrutura desatualizada, são alvos frequentes de malwares como o Lucifer. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1496-001-compute-hijacking|T1496.001 - Compute Hijacking]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1049-system-network-connections-discovery|T1049 - System Network Connections Discovery]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1570-lateral-tool-transfer|T1570 - Lateral Tool Transfer]] - [[t1070-001-clear-windows-event-logs|T1070.001 - Clear Windows Event Logs]] - [[t1497-001-system-checks|T1497.001 - System Checks]] - [[t1027-002-software-packing|T1027.002 - Software Packing]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] ## Detecção - **[[ds-0029-network-traffic|Network Traffic Flow]]** - Monitorar conexões de saída a pools de mineração Monero e tráfego de protocolo Stratum, além de anomalias de largura de banda indicativas de participação em ataques DDoS. - **[[ds-0009-process|Process Creation]]** - Detectar exploração de vulnerabilidades via processos filhos anômalos de serviços como SMB (EternalBlue), RDP e serviços de compartilhamento de arquivos Windows. - **[[ds-0017-command|Command Execution]]** - Alertar para execução de comandos de propagação lateral - especialmente uso de `net use`, `wmic`, e ferramentas como PsExec iniciadas por processos de serviço. ```sigma title: Lucifer Hybrid Malware Lateral Propagation status: experimental logsource: category: process_creation product: windows detection: selection: Image|endswith: '\cmd.exe' CommandLine|contains: - 'net use \\' - 'psexec' ParentImage|contains: - '\svchost.exe' condition: selection falsepositives: - IT administrators performing remote management level: high tags: - attack.lateral-movement - attack.t1570 - code/distill ``` ## Relevância LATAM/Brasil O Lucifer explora vulnerabilidades conhecidas como EternalBlue (MS17-010), que ainda afeta sistemas Windows sem patches em infraestruturas de PMEs e órgãos públicos no Brasil. A combinação de cryptomining e capacidade DDoS representa dupla ameaça: consumo de recursos e potencial uso da infraestrutura comprometida em ataques DDoS contra terceiros, gerando responsabilidade jurídica para os proprietários dos sistemas comprometidos. ## Referências - [MITRE ATT&CK - S0532](https://attack.mitre.org/software/S0532) - [Palo Alto Unit 42 - Lucifer: New Cryptojacking and DDoS Hybrid Malware](https://unit42.paloaltonetworks.com/lucifer-new-cryptojacking-and-ddos-hybrid-malware/)