# SharpDisco > Tipo: **malware** · S1089 · [MITRE ATT&CK](https://attack.mitre.org/software/S1089) ## Descrição [[s1089-sharpdisco|SharpDisco]] é um dropper desenvolvido em C# utilizado pelo [[g1019-moustachedbouncer|MoustachedBouncer]] - grupo de espionagem cibernética atribuído a operações de vigilância estatal na Bielorrússia - desde pelo menos 2020 para carregar plugins maliciosos em sistemas comprometidos. O [[g1019-moustachedbouncer|MoustachedBouncer]] é notório por operar através de interceptação de tráfego em nível de ISP (técnica de adversary-in-the-middle em escala nacional), permitindo ao grupo comprometer alvos sem necessidade de exploração de vulnerabilidades tradicionais. O [[s1089-sharpdisco|SharpDisco]] funciona como mecanismo de staging: após o comprometimento inicial, o dropper é executado via tarefa agendada ([[t1053-005-scheduled-task|T1053.005]]) ou outro mecanismo de persistência, e carrega dinâmicamente plugins específicos para cada tarefa de espionagem. O dropper executa em jánela oculta ([[t1564-003-hidden-window|T1564.003]]) para evitar detecção visual pelo usuário, e monitora dispositivos periféricos conectados ([[t1120-peripheral-device-discovery|T1120]]), o que sugere interesse em dados transportados em mídias removíveis por diplomatas e funcionários governamentais. A exfiltração de dados utiliza protocolos de transferência de arquivos ([[t1071-002-file-transfer-protocols|T1071.002]]) em vez de canais HTTP/HTTPS típicos, o que pode ser uma tentativa de misturar o tráfego malicioso com comúnicações legítimas de compartilhamento de arquivos em ambientes corporativos. O foco do [[g1019-moustachedbouncer|MoustachedBouncer]] em embaixadas estrangeiras e diplomatas na Bielorrússia torna o [[s1089-sharpdisco|SharpDisco]] uma referência relevante para estudo de técnicas de vigilância estatal. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1564-003-hidden-window|T1564.003 - Hidden Window]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1071-002-file-transfer-protocols|T1071.002 - File Transfer Protocols]] - [[t1680-local-storage-discovery|T1680 - Local Storage Discovery]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1106-native-api|T1106 - Native API]] - [[t1120-peripheral-device-discovery|T1120 - Peripheral Device Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] ## Grupos que Usam - [[g1019-moustachedbouncer|MoustachedBouncer]] ## Detecção - Monitorar tarefas agendadas criadas por processos não administrativos, especialmente com execução de binários C# - Detectar processos C# criados com jánela oculta (`CreateProcess` com `SW_HIDE` ou `STARTF_USESHOWWINDOW`) - Alertar sobre acesso a arquivos em dispositivos removíveis por processos de background agendados - Monitorar uso de protocolos FTP/SFTP por processos não relacionados a clientes FTP conhecidos - Implementar auditoria de tarefas agendadas e verificar regularmente o catálogo de tarefas do sistema ## Relevância LATAM/Brasil O modelo de vigilância estatal do [[g1019-moustachedbouncer|MoustachedBouncer]] - incluindo interceptação em nível de ISP - é relevante para o debaté sobre segurança de comúnicações diplomáticas e governamentais no Brasil. A representação diplomática brasileira em países com regimes autoritários deve considerar TTPs similares em suas avaliações de risco. Além disso, a técnica de dropper modular do [[s1089-sharpdisco|SharpDisco]] é amplamente adotada por atores de espionagem que operam na América Latina, tornando suas assinaturas de detecção aplicáveis ao contexto regional. ## Referências - [MITRE ATT&CK - S1089](https://attack.mitre.org/software/S1089)