# iSpy > Tipo: **keylogger** · S0569 · [MITRE ATT&CK](https://attack.mitre.org/software/S0569) ## Descrição [[ispy|iSpy]] é um keylogger comercializado como ferramenta de monitoramento legítima ("stalkerware") mas amplamente abusado por atores maliciosos em campanhas de espionagem e roubo de credenciais desde pelo menos 2015. O [[ispy|iSpy]] é distribuído em fóruns underground e vendido como um Crimeware-as-a-Service, permitindo que atores com baixo nível técnico conduzam campanhas de roubo de informações contra empresas e indivíduos. Suas capacidades incluem registro de teclas ([[t1056-001-keylogging|T1056.001]]), captura de tela periódica ([[t1113-screen-capture|T1113]]), gravação de áudio via microfone ([[t1123-audio-capture|T1123]]) e roubo de conteúdo da área de transferência ([[t1115-clipboard-data|T1115]]). O [[ispy|iSpy]] é capaz de extrair credenciais salvas em navegadores web populares como Chrome, Firefox, Opera e Edge ([[t1555-003-credentials-from-web-browsers|T1555.003]]), tornando-o uma ferramenta eficaz para comprometimento de contas corporativas e pessoais. As credenciais, capturas de tela e registros de teclas coletados são exfiltrados via canal C2 ([[t1041-exfiltration-over-c2-channel|T1041]]) utilizando protocolos web ([[t1071-001-web-protocols|T1071.001]]) - frequentemente via FTP ou SMTP para servidores controlados pelos atacantes. O malware emprega ofuscação de código ([[t1027-obfuscated-files-or-information|T1027]]) para dificultar análise estática por soluções antivírus. A natureza de "uso duplo" do [[ispy|iSpy]] - comercializado como software de monitoramento parental ou de funcionários - o torna particularmente difícil de detectar em ambientes corporativos onde ferramentas de monitoramento legítimas estão presentes. Campanhas utilizando o [[ispy|iSpy]] foram documentadas em múltiplos países, com distribuição principalmente via phishing e software crackeado, afetando desproporcionalmente pequenas e médias empresas sem maturidade de segurança para detectar keyloggers furtivos. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1123-audio-capture|T1123 - Audio Capture]] - [[t1115-clipboard-data|T1115 - Clipboard Data]] - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] ## Detecção A detecção do [[ispy|iSpy]] baseia-se em identificar hooks de teclado e comportamentos anômalos de acesso a dados do usuário. Indicadores-chave incluem: instalação de hooks globais de teclado (SetWindowsHookEx com WH_KEYBOARD_LL) por processos não-autorizados; acesso a perfis de navegadores (SQLite databases em AppData) por processos desconhecidos; e captura periódica de tela via BitBlt/CopyFromScreen por processos em background. Ferramentas EDR modernas devem detectar o padrão de comportamento combinado de keylogging + credential harvesting + exfiltração. Monitoramento de conexões FTP ou SMTP de saída de estações de trabalho (que normalmente não iniciam esse tipo de conexão) é um indicador relevante de exfiltração ativa. Soluções de DLP (Data Loss Prevention) configuradas para detectar envio de dados de credenciais via email ou FTP complementam a detecção. ## Relevância LATAM/Brasil O [[ispy|iSpy]] tem relevância direta para o Brasil devido à sua natureza de crimeware acessível e ampla distribuição em fóruns underground. O mercado brasileiro de cibercrime é um dos mais ativos do mundo, e ferramentas como o [[ispy|iSpy]] são utilizadas em campanhas de roubo de credenciais bancárias e corporativas direcionadas a PMEs brasileiras. O perfil de vítimas - empresas sem equipe de segurança dedicada - é consistente com o perfil das organizações mais vulneráveis no Brasil. Keyloggers desta categoria são frequentemente combinados com trojans bancários desenvolvidos localmente para maximizar o impacto financeiro das campanhas. ## Referências - [MITRE ATT&CK - S0569](https://attack.mitre.org/software/S0569)