s0488-gelup - RunkIntel

# GELUP > Tipo: **downloader** · S0488 · [MITRE ATT&CK](https://attack.mitre.org/software/S0488) ## Descrição [[s0488-gelup|GELUP]] é um downloader utilizado pelo grupo [[ta505|TA505]] em campanhas de distribuição de malware em larga escala desde pelo menos 2019. O malware serve como primeiro estágio na cadeia de infecção do TA505, sendo responsável por baixar e executar payloads de segundo estágio como o [[s0383-flawedgrace|FlawedGrace]], SDBbot, ou ransomware como o Clop. O GELUP é tipicamente distribuído como arquivo malicioso em campanhas de spam massivo, disfarçado em documentos que exploram a confiança do destinatário através de lures financeiros e de entrega. O [[s0488-gelup|GELUP]] utiliza scripts PowerShell com alta ofuscação para dificultar análise estática e contornar detecção por soluções baseadas em assinatura. Após execução, o malware verifica o ambiente em busca de sandboxes e ferramentas de análise antes de prosseguir com o download do payload principal. A comunicação com o servidor C2 é realizada via HTTP/HTTPS, com URL de download frequentemente ofuscada ou obtida através de um mecanismo de dead drop (como um post em plataformas legítimas). A persistência é estabelecida via chaves de registro Run. O [[ta505|TA505]] é responsável por algumas das maiores campanhas de spam malicioso da história, com distribuição de dezenas de milhões de e-mails por dia no pico de suas operações. O GELUP representa a abordagem do grupo de usar downloaders simples e altamente variados para entregar payloads que mudam frequentemente, reduzindo a eficácia de detecções baseadas no payload final. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] ## Grupos que Usam - [[ta505|TA505]] ## Detecção > [!tip] Indicadores de Detecção > - Monitorar execução de scripts PowerShell altamente ofuscados (use AMSI e script block logging) > - Detectar processos PowerShell que realizam conexões de rede logo após execução de documentos Office > - Alertar sobre criação de chaves de registro Run por processos temporários ou de localização incomum > - Implementar regras de e-mail que bloqueiem documentos com macros de remetentes desconhecidos > - Correlacionar volumes anômalos de e-mail (campanhas TA505 são identificáveis por volume e uniformidade de subject lines) ## Relevância LATAM/Brasil O [[ta505|TA505]] tem presença documentada no Brasil com campanhas em português utilizando lures locais. O GELUP como primeiro estágio dessas campanhas é frequentemente a peça mais detectável da cadeia, pois scripts PowerShell ofuscados são detectados por soluções modernas de endpoint. Organizações brasileiras devem priorizar controles de e-mail (sandboxing de anexos, DMARC/DKIM/SPF) e logging de PowerShell como controles preventivos primários contra o GELUP e o ecossistema completo do TA505. ## Referências - [MITRE ATT&CK - S0488](https://attack.mitre.org/software/S0488)