s0442-vbshower - RunkIntel

# VBShower > Tipo: **malware** · S0442 · [MITRE ATT&CK](https://attack.mitre.org/software/S0442) ## Descrição [[s0442-vbshower|VBShower]] é um backdoor baseado em Visual Basic (VBScript) utilizado pelo grupo [[g0100-inception-framework|Inception]] desde pelo menos 2019 em operações de espionagem cibernética. O malware atua principalmente como downloader de payloads de segundo estágio, incluindo o [[s0441-powershower|PowerShower]] - um backdoor baseado em PowerShell - e foi documentado em campanhas direcionadas a organizações governamentais e militares na Europa e Oriente Médio. O VBShower utiliza scripts VBScript para execução, aproveitando um interpretador nativo do Windows que historicamente era menos monitorado que executáveis compilados. O malware apaga seus próprios arquivos após execução (file deletion) para minimizar rastros forenses, estabelece persistência via Run Keys do registro e mantém comunicação com seu C2 via protocolos web padrão. Sua função principal é baixar e executar payloads adicionais, tornando-o um loader eficaz para operações de múltiplos estágios. O grupo [[g0100-inception-framework|Inception]] (também rastreado como Cloud Atlas) é conhecido por suas campanhas de espionagem altamente direcionadas, frequentemente usando documentos office maliciosos como vetor inicial e implants baseados em linguagens de script nativas do Windows (VBScript, PowerShell) para dificultar a detecção. O VBShower exemplifica essa abordagem de living-off-the-land adaptada a operações de espionagem de longo prazo. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] ## Grupos que Usam - [[g0100-inception-framework|Inception]] ## Detecção A detecção do VBShower deve focar em execuções de wscript.exe ou cscript.exe com scripts baixados de URLs remotas, modificações de Run Keys do registro por processos de script, e auto-deleção de arquivos VBScript após execução. Habilitar o log de eventos do Windows Script Host e configurar regras SIEM para alertar em execuções de VBScript em locais temporários (pasta %TEMP%, Downloads) são abordagens eficazes. Restrição de VBScript via GPO em endpoints corporativos é uma mitigação preventiva importante. ## Relevância LATAM/Brasil O grupo [[g0100-inception-framework|Inception]] foca principalmente em alvos governamentais e diplomáticos europeus e no Oriente Médio, mas as técnicas de VBScript como vetor de malware são amplamente utilizadas por grupos que operam na América Latina. O Brasil, com alto volume de spam malicioso em português explorando documentos Office com macros VBA/VBScript, enfrenta ameaça similar diariamente. Desabilitar a execução de VBScript em endpoints corporativos e monitorar wscript.exe são controles relevantes para qualquer organização brasileira. ## Referências - [MITRE ATT&CK - S0442](https://attack.mitre.org/software/S0442)