s1171-oilcheck - RunkIntel

# OilCheck > Tipo: **malware** · S1171 · [MITRE ATT&CK](https://attack.mitre.org/software/S1171) ## Descrição [[s1171-oilcheck|OilCheck]] é um downloader em C#/.NET utilizado pelo [[g0049-oilrig|OilRig]] desde pelo menos 2022, inclusive contra alvos em Israel. O OilCheck implementa uma técnica de C2 inovadora: utiliza rascunhos de mensagens criados em uma conta de e-mail compartilhada para comunicação com o operador. Ao invés de enviar e-mails, o malware lê e escreve em rascunhos de uma caixa de correio controlada pelo atacante, tornando o tráfego indistinguível de uso legítimo de webmail. Esta técnica de "dead drop" via rascunhos de e-mail é extremamente difícil de detectar em ambientes corporativos que permitem acesso a webmail, pois não gera tráfego de envio/recebimento convencional. O OilCheck faz parte da família de downloaders do [[g0049-oilrig|OilRig]] que abusam de serviços legítimos de nuvem, junto com o [[s1170-odagent|ODAgent]] (OneDrive) e o [[s1172-oilbooster|OilBooster]]. A estratégia de C2 via e-mail draft é uma evolução de técnicas documentadas em outros grupos APT e demonstra a sofisticação técnica do [[g0049-oilrig|OilRig]] em evadir controles de segurança perimetral. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1567-exfiltration-over-web-service|T1567 - Exfiltration Over Web Service]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1102-002-bidirectional-communication|T1102.002 - Bidirectional Commúnication]] ## Grupos que Usam - [[g0049-oilrig|OilRig]] ## Detecção - Monitorar autenticação de aplicações não-reconhecidas a serviços de webmail corporativo via OAuth/API ([[t1102-002-bidirectional-communication|T1102.002]]) - Detectar processos acessando pastas de rascunhos de e-mail via IMAP ou APIs de webmail - Alertar para acesso frequente e periódico a contas de e-mail por processos sem interface gráfica ([[t1567-exfiltration-over-web-service|T1567]]) - Implementar DLP que monitore uploads para serviços de webmail externos ## Relevância LATAM/Brasil A técnica de C2 via rascunhos de e-mail documentada no OilCheck é altamente eficaz em ambientes corporativos brasileiros que utilizam webmail - incluindo Gmail, Outlook.com e serviços similares. A baixa visibilidade desta técnica em soluções de segurança tradicionais a torna especialmente perigosa para organizações sem monitoramento avançado de comportamento de rede. O setor de energia e infraestrutura crítica brasileiro deve revisar controles de acesso a serviços de e-mail externos. ## Referências - [MITRE ATT&CK - S1171](https://attack.mitre.org/software/S1171)