s1116-warpwire - RunkIntel

# WARPWIRE > Tipo: **malware** · S1116 · [MITRE ATT&CK](https://attack.mitre.org/software/S1116) ## Descrição [[s1116-warpwire|WARPWIRE]] é um credential stealer escrito em JavaScript que tem como alvo senhas e nomes de usuário em texto simples para exfiltração, utilizado na operação Cutting Edge para atacar appliances VPN Ivanti Connect Secure (anteriormente Pulse Connect Secure). O malware foi descoberto em 2024 em conjunto com a exploração de zero-days nos dispositivos Ivanti, representando um componente crítico de uma cadeia de ataque sofisticada contra dispositivos de borda de rede. Do ponto de vista técnico, o WARPWIRE compromete os binários legítimos do software Ivanti para interceptar credenciais no momento da autenticação web - uma técnica de web portal capture que captura credenciais antes de qualquer processo de criptografia. As credenciais capturadas são codificadas em encoding padrão e exfiltradas via protocolo não C2 para o servidor do atacante, misturando o tráfego malicioso com tráfego legítimo de rede. O uso do WARPWIRE em VPNs corporativas representa uma ameaça especialmente grave porque as credenciais capturadas permitem ao atacante autenticar-se legitimamente à rede da vítima como se fosse um usuário autorizado, contornando controles de acesso e gerando tráfego que se confunde com atividade legítima. Este acesso inicial via VPN é frequentemente o ponto de entrada para operações de espionagem de longo prazo. **Plataformas:** Network Devices ## Técnicas Utilizadas - [[t1554-compromise-host-software-binary|T1554 - Compromise Host Software Binary]] - [[t1048-003-exfiltration-over-unencrypted-non-c2-protocol|T1048.003 - Exfiltration Over Unencrypted Non-C2 Protocol]] - [[t1059-007-javascript|T1059.007 - JavaScript]] - [[t1056-003-web-portal-capture|T1056.003 - Web Portal Capture]] - [[t1132-001-standard-encoding|T1132.001 - Standard Encoding]] ## Detecção A detecção do WARPWIRE requer monitoramento de integridade dos binários e arquivos JavaScript do Ivanti Connect Secure, comparando hashes contra versões conhecidas. Análise de tráfego de rede para exfiltração de dados em texto encodado para destinos externos não documentados é um indicador relevante. A Ivanti públicou verificações de integridade e IoCs específicos para esta campanha. Após a descoberta, é essencial realizar reset de credenciais para todos os usuários que autenticaram via VPN durante o período de comprometimento. ## Relevância LATAM/Brasil Organizações brasileiras que utilizam Ivanti Connect Secure (Pulse VPN) para acesso remoto corporativo foram potencialmente expostas ao WARPWIRE durante a campanha de exploração de zero-days em 2024. Com o aumento do trabalho remoto no Brasil, VPNs corporativas tornaram-se alvos de alto valor para atores de ameaça. Todas as organizações que utilizavam versões vulneráveis do Ivanti Connect Secure devem verificar se foram afetadas, resetar credenciais e revisar logs de acesso do período vulnerável. ## Referências - [MITRE ATT&CK - S1116](https://attack.mitre.org/software/S1116)