# Koobface > Tipo: **worm** · [MITRE ATT&CK](https://attack.mitre.org/software/S0278) ## Descrição [[koobface|Koobface]] é um worm de propagação via redes sociais descoberto em 2008, notório por ter sido um dos primeiros malwares a explorar sistematicamente plataformas como Facebook, MySpace, Twitter e outros serviços de rede social para propagação em massa. O nome "Koobface" é anagrama de "Facebook". O worm foi operado por um grupo criminoso russo que monetizou a botnet resultante através de pay-per-install, exibição de anúncios fraudulentos, fraude de cliques e roubo de dados de conta, gerando milhões de dólares em receita ilícita antes de ser desmantelado. A propagação do [[koobface|Koobface]] ocorria através de mensagens enviadas automaticamente nas redes sociais das vítimas infectadas, contendo links para vídeos falsos que solicitavam atualização do Adobe Flash Player - ao aceitar a "atualização", o usuário instalava o worm ([[t1204-001-malicious-link|T1204.001]]). Uma vez instalado, o [[koobface|Koobface]] se conectava a servidores C2 ([[t1071-001-web-protocols|T1071.001]]) para receber instruções, baixar componentes adicionais ([[t1105-ingress-tool-transfer|T1105]]), e sequestrar recursos do sistema para fraude de cliques ([[t1496-resource-hijacking|T1496]]). Persistência via registro de autorun ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) garantia operação contínua. O [[koobface|Koobface]] foi historicamente significativo como um dos primeiros exemplos de malware de escala industrial operado por um grupo criminoso organizado com divisão clara de tarefas (programadores, operadores, distribuidores). Em 2012, o Facebook e agências de inteligência identificaram os cinco operadores russos do [[koobface|Koobface]] públicamente, e as operações do grupo cessaram. O caso é um estudo de caso clássico em monetização de botnets via propaganda maliciosa e serviços de "pay-per-install". **Plataformas:** Windows ## Técnicas Utilizadas - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1204-001-malicious-link|T1204.001 - Malicious Link]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1496-resource-hijacking|T1496 - Resource Hijacking]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] ## Detecção Embora o [[koobface|Koobface]] original estejá inativo, seus padrões de ataque permanecem relevantes para detecção de malwares modernos de propagação via redes sociais. Monitorar: postagens automatizadas em redes sociais a partir de contas de usuários sem interação humana; links para domínios de curta duração ou recentemente registrados em mensagens de redes sociais; e solicitações de "atualizações de plugin" fora dos mecanismos oficiais. Regras de firewall bloqueando comúnicações para domínios C2 conhecidos do [[koobface|Koobface]] ainda são incluídas em feeds de threat intelligence como referência histórica. ## Relevância LATAM/Brasil O [[koobface|Koobface]] afetou usuários globalmente, incluindo brasileiros que eram usuários ativos de Facebook no período 2008-2012. O Brasil é um dos países com maior penetração de redes sociais no mundo, tornando-o historicamente e atualmente um alvo de alto valor para malwares que exploram engajamento em redes sociais. O modelo do [[koobface|Koobface]] - propagação via mensagens de amigos "confiáveis" em redes sociais com links para malware - é amplamente replicado em campanhas modernas de golpes e malware no Brasil, tornando seu estudo relevante para compreender a evolução de ameaças baseadas em engenharia social digital. ## Referências - [MITRE ATT&CK](https://attack.mitre.org)