# Rover > Tipo: **malware** · S0090 · [MITRE ATT&CK](https://attack.mitre.org/software/S0090) ## Descrição [[s0090-rover|Rover]] é um malware de espionagem observado em 2015 em um e-mail direcionado enviado ao Embaixador da Índia no Afeganistão. O malware foi entregue como anexo malicioso e é atribuído a um grupo de ameaça suspeito de ser de origem paquistanesa, alinhado com objetivos de inteligência relacionados ao subcontinente sul-asiático - particularmente ao conflito Índia-Paquistão e à situação política afegã. As capacidades do [[s0090-rover|Rover]] são voltadas para coleta sistemática de informações do sistema comprometido: realiza keylogging, captura screenshots em intervalos regulares, coleta dados de dispositivos removíveis (como pendrives conectados) e exfiltra automaticamente os dados coletados para um servidor C2. A persistência é mantida via chaves Run do registro do Windows ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]), garantindo execução após reinicializações. Uma característica de interesse tático é a coleta de dados de mídias removíveis ([[t1025-data-from-removable-media|T1025]]), o que sugere que o malware foi desenvolvido para ambientes onde documentos sensíveis são frequentemente transportados em dispositivos físicos - padrão comum em ambientes governamentais e diplomáticos. Os dados são primeiro encenados localmente ([[t1074-001-local-data-staging|T1074.001]]) antes da exfiltração automatizada. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1119-automated-collection|T1119 - Automated Collection]] - [[t1020-automated-exfiltration|T1020 - Automated Exfiltration]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1025-data-from-removable-media|T1025 - Data from Removable Media]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] ## Detecção - Monitorar modificações em chaves Run do registro (`HKCU\Software\Microsoft\Windows\CurrentVersion\Run`) por processos não reconhecidos - Detectar captura periódica de screenshots por processos de background (acesso à API `BitBlt`, `GDI`) - Alertar sobre exfiltração automatizada de grandes volumes de dados para endereços IP externos - Monitorar acesso a arquivos em dispositivos removíveis recém-conectados por processos não relacionados ao gerenciador de arquivos - Implementar controles de DLP para dispositivos USB em ambientes sensíveis ## Relevância LATAM/Brasil O modelo de espionagem governamental e diplomática do [[s0090-rover|Rover]] é relevante para o contexto sul-americano, onde embaixadas, ministérios e órgãos de defesa são alvos potenciais de campanhas de inteligência estrangeira. No Brasil, a combinação de keylogging, captura de tela e coleta de dados de USB representa uma ameaça concreta para ambientes de alto valor como o Itamaraty e órgãos de inteligência. A ausência de controles de uso de dispositivos removíveis em muitos órgãos públicos brasileiros aumenta o risco de comprometimento por malwares com essa capacidade. ## Referências - [MITRE ATT&CK - S0090](https://attack.mitre.org/software/S0090)