# Saint Bot > Tipo: **malware** · S1018 · [MITRE ATT&CK](https://attack.mitre.org/software/S1018) ## Descrição [[s1018-saint-bot|Saint Bot]] é um downloader .NET utilizado pelo [[g1031-saint-bear|Saint Bear]] (também conhecido como Lorec Bear ou UAC-0056) desde pelo menos março de 2021, com uso também documentado pelo [[g1003-ember-bear|Ember Bear]] - grupos de ameaça atribuídos à Rússia com foco em operações contra a Ucrânia e países do Leste Europeu. O [[s1018-saint-bot|Saint Bot]] foi amplamente utilizado em campanhas de spear-phishing direcionadas a organizações governamentais ucranianas durante o período anterior e posterior à invasão russa da Ucrânia em 2022, funcionando como estágio inicial para entregar payloads adicionais. O downloader implementa múltiplas técnicas de evasão: utiliza verificações baseadas em tempo ([[t1497-003-time-based-checks|T1497.003]]) para detectar ambientes de análise acelerada típicos de sandboxes, emprega ofuscação pesada do código .NET ([[t1027-obfuscated-files-or-information|T1027]]), e realiza masquerading de processos e arquivos ([[t1036-masquerading|T1036]]) para parecer software legítimo. O bypass de UAC ([[t1548-002-bypass-user-account-control|T1548.002]]) é utilizado para elevar privilégios sem gerar prompt visível ao usuário. O [[s1018-saint-bot|Saint Bot]] é projetado como um primeiro estágio leve e descartável - após entregar o payload principal e garantir persistência via tarefas agendadas ([[t1053-005-scheduled-task|T1053.005]]) ou injeção de DLL, frequentemente se autodeleta para reduzir a pegada forense. O payload secundário entregue pode incluir infostealers, RATs ou ferramentas destrutivas, dependendo dos objetivos da operação. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1218-010-regsvr32|T1218.010 - Regsvr32]] - [[t1055-001-dynamic-link-library-injection|T1055.001 - Dynamic-link Library Injection]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1548-002-bypass-user-account-control|T1548.002 - Bypass User Account Control]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1036-masquerading|T1036 - Masquerading]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1497-003-time-based-checks|T1497.003 - Time Based Checks]] - [[t1012-query-registry|T1012 - Query Registry]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1106-native-api|T1106 - Native API]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] ## Grupos que Usam - [[g1003-ember-bear|Ember Bear]] - [[g1031-saint-bear|Saint Bear]] ## Detecção - Monitorar binários .NET com alta entropia ou ofuscação detectável por ferramentas como de4dot - Detectar uso de `regsvr32.exe` para carregar DLLs remotas ou de caminhos incomuns - Alertar sobre bypass de UAC via técnicas conhecidas (fodhelper, computerdefaults, etc.) - Monitorar criação de tarefas agendadas por processos não administrativos - Implementar análise de comportamento de arquivos recebidos por email antes da execução ## Relevância LATAM/Brasil Embora o [[s1018-saint-bot|Saint Bot]] tenha sido desenvolvido para uso em operações de conflito no Leste Europeu, as técnicas de downloader .NET com evasão de sandbox, bypass de UAC e entrega de payload em dois estágios são amplamente replicadas por grupos de crimes cibernéticos que operam no Brasil. A cadeia de ataque do Saint Bot - phishing → downloader leve → payload pesado - é o padrão dominante em campanhas de malware bancário brasileiro, tornando o estudo deste malware diretamente aplicável à defesa contra ameaças locais. ## Referências - [MITRE ATT&CK - S1018](https://attack.mitre.org/software/S1018)