# DarkMoon > Tipo: **rat** · [MITRE ATT&CK](https://attack.mitre.org/software/) ## Descrição [[darkmoon|DarkMoon]] é um remote access trojan (RAT) de longa data, frequentemente associado ao [[darkmoon|Bandook RAT]], uma das ferramentas de acesso remoto mais antigas ainda em uso ativo. Utilizado pelo grupo [[darkcaracal|Dark Caracal]] e outros atores de ameaça, o [[darkmoon|DarkMoon]] oferece um conjunto completo de capacidades de vigilância e controle remoto: captura de áudio, vídeo e tela, keylogging, acesso a arquivos e execução de comandos. O malware tem histórico documentado de uso por grupos governamentais de vigilância em campanhas contra ativistas, jornalistas e dissidentes. O [[darkmoon|DarkMoon]] é distribuído via documentos maliciosos e links de spear-phishing, frequentemente em campanhas altamente direcionadas com iscas personalizadas para o alvo. Após instalação, estabelece persistência via chaves Run do registro e inicia coleta contínua de dados. A capacidade de captura de vídeo via webcam e áudio via microfone torna o malware especialmente intrusivo e invasivo para as vítimas. A comunicação C2 é estabelecida via TCP com protocolo proprietário. O [[darkcaracal|Dark Caracal]], atribuído a operações de inteligência do Líbano, utilizou o [[darkmoon|DarkMoon]] em campanhas contra alvos em mais de 21 países, demonstrando o alcance global potencial desta ferramenta. A longevidade do RAT - ativo desde meados dos anos 2000 em versões diversas - e sua disponibilidade em fóruns clandestinos como software comercial ou crimeware tornaram-no acessível a uma ampla gama de atores, desde grupos estatais a operadores individuais de cibercrime. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1125-video-capture|T1125 - Video Capture]] - [[t1123-audio-capture|T1123 - Audio Capture]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] ## Grupos que Usam - [[darkcaracal|Dark Caracal]] ## Detecção - Monitorar acesso a dispositivos de câmera e microfone por processos não relacionados a videochamadas ou multimídia ([[t1125-video-capture|T1125]], [[t1123-audio-capture|T1123]]) - Detectar hooks de teclado instalados por processos suspeitos ([[t1056-001-keylogging|T1056.001]]) - Alertar sobre criação de chaves Run no registro por aplicações baixadas recentemente ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) - Implementar controles de privacidade para câmera e microfone com indicadores visuais de uso - Monitorar conexões TCP persistentes de processos com nomes genéricos ou de sistema mascarados ## Relevância LATAM/Brasil O [[darkmoon|DarkMoon]] e ferramentas similares são relevantes para o Brasil especialmente no contexto de vigilância de ativistas, jornalistas e opositores políticos. Grupos de vigilância governamental de países com relações tensas com comunidades da diáspora no Brasil poderiam utilizar ferramentas como o DarkMoon. Adicionalmente, o acesso comercial ao Bandook RAT em fóruns underground torna-o disponível para grupos de cibercrime brasileiro com menor sofisticação técnica. Organizações de direitos humanos e jornalistas investigativos no Brasil devem estar especialmente alertas para sinais de comprometimento por RATs com capacidades de vigilância. ## Referências - [MITRE ATT&CK - Dark Caracal](https://attack.mitre.org/groups/G0070) - [EFF/Lookout - Dark Caracal Report](https://www.lookout.com/documents/threat-reports/lookout-dark-caracal-srr-20180118_us.pdf)