s0264-oopsie - RunkIntel

# OopsIE > Tipo: **malware** · S0264 · [MITRE ATT&CK](https://attack.mitre.org/software/S0264) ## Descrição [[s0264-oopsie|OopsIE]] é um Trojan utilizado pelo [[g0049-oilrig|OilRig]] para executar comandos remotamente e realizar upload e download de arquivos de/para as vítimas. Distribuído principalmente via documentos maliciosos em campanhas de spear-phishing, o OopsIE combina scripts VBScript com executáveis para estabelecer acesso persistente. O malware realiza verificações anti-sandbox para detectar ambientes de análise antes de iniciar suas operações, e implementa limites de tamanho de transferência de dados para evitar alertas de volume anômalo. Os dados coletados são comprimidos com método customizado antes da exfiltração via HTTP, dificultando a reconstrução por análise de tráfego. Tarefas agendadas garantem a persistência no sistema comprometido. O OopsIE foi utilizado em campanhas do [[g0049-oilrig|OilRig]] contra organizações no Oriente Médio e em setores como telecomúnicações, governo e utilities, consistente com o perfil de alvos de espionagem do grupo vinculado ao governo iraniano. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1030-data-transfer-size-limits|T1030 - Data Transfer Size Limits]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1132-001-standard-encoding|T1132.001 - Standard Encoding]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1497-001-system-checks|T1497.001 - System Checks]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1560-003-archive-via-custom-method|T1560.003 - Archive via Custom Method]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1560-001-archive-via-utility|T1560.001 - Archive via Utility]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] ## Grupos que Usam - [[g0049-oilrig|OilRig]] ## Detecção - Monitorar scripts VBScript executando em contexto de documentos do Office ([[t1059-005-visual-basic|T1059.005]]) - Detectar WMI invocado por processos de documento para executar comandos ([[t1047-windows-management-instrumentation|T1047]]) - Alertar para compressão customizada de arquivos seguida de transmissão HTTP ([[t1560-003-archive-via-custom-method|T1560.003]]) - Identificar criação de tarefas agendadas por processos de aplicação Office ([[t1053-005-scheduled-task|T1053.005]]) ## Relevância LATAM/Brasil O [[g0049-oilrig|OilRig]] opera com objetivos de espionagem estatal iraniana e tem demonstrado capacidade de expandir alvos globalmente. Organizações brasileiras do setor de energia, telecomúnicações e governo com relações com o Oriente Médio devem incluir o perfil de TTPs do OilRig em suas avaliações de ameaça, especialmente em virtude das relações diplomáticas e comerciais Brasil-Irã. ## Referências - [MITRE ATT&CK - S0264](https://attack.mitre.org/software/S0264)