# FlawedAmmyy > Tipo: **RAT** · S0381 · [MITRE ATT&CK](https://attack.mitre.org/software/S0381) ## Descrição [[flawedammyy|FlawedAmmyy]] é uma ferramenta de acesso remoto (RAT) baseada no código-fonte vazado do Ammyy Admin, um software legítimo de acesso remoto. Observado pela primeira vez no início de 2016, o malware foi adotado pelos grupos [[ta505|TA505]] e [[g0037-fin6|FIN6]] como ferramenta de pós-exploração em campanhas financeiras direcionadas ao setor bancário e varejista global. Ao se basear em código legítimo de acesso remoto, o [[flawedammyy|FlawedAmmyy]] se beneficia de padrões de comunicação similares a software legítimo, dificultando a detecção por soluções baseadas em assinatura. As capacidades do [[flawedammyy|FlawedAmmyy]] incluem controle remoto completo da máquina comprometida, captura de tela e keylogging, transferência de arquivos, acesso a microfone e câmera, e execução de comandos arbitrários via shell. O RAT é tipicamente entregue através de campanhas de phishing em larga escala conduzidas pelo [[ta505|TA505]], que emprega documentos Office com macros maliciosas ou downloaders intermediários como o [[s0460-get2|Get2]]. Uma vez implantado, o FlawedAmmyy estabelece persistência via chaves de registro e mantém comunicação C2 cifrada via HTTP. O grupo [[g0037-fin6|FIN6]] utilizou o [[flawedammyy|FlawedAmmyy]] em ataques a sistemas de ponto de venda (POS) em combinação com o [[s0503-frameworkpos|FrameworkPOS]], resultando em roubos massivos de dados de cartões de pagamento. O TA505, por sua vez, utilizou o RAT como etapa intermediária em campanhas que eventualmente implantavam ransomware como o Locky e o Clop, demonstrando a versatilidade do malware em diferentes cadeias de ataque. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1218-011-rundll32|T1218.011 - Rundll32]] - [[t1120-peripheral-device-discovery|T1120 - Peripheral Device Discovery]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1056-input-capture|T1056 - Input Capture]] ## Grupos que Usam - [[g0037-fin6|FIN6]] - [[ta505|TA505]] ## Detecção > [!tip] Indicadores de Detecção > - Detectar processos que compartilham padrões de comunicação de rede do Ammyy Admin (porta 443/80 com payloads específicos) > - Monitorar chaves de registro Run criadas por processos não-administrativos > - Alertar sobre uso de rundll32.exe para carregamento de DLLs de localização temporária > - Identificar uso de WMI para reconhecimento do sistema fora de scripts de gerenciamento legítimos > - Correlacionar campanhas de phishing com attachments Office que usam macros para baixar executáveis ## Relevância LATAM/Brasil O [[ta505|TA505]], principal operador do [[flawedammyy|FlawedAmmyy]], tem histórico confirmado de campanhas na América Latina e no Brasil, particularmente contra o setor financeiro e varejista. O grupo realiza campanhas de phishing em português brasileiro com lures relacionados a boletos bancários, faturas e documentos fiscais, aumentando a taxa de sucesso. Organizações brasileiras com sistemas POS são especialmente vulneráveis à combinação FlawedAmmyy + FrameworkPOS utilizada pelo [[g0037-fin6|FIN6]]. O modelo de RAT baseado em código legítimo é uma tendência crescente que afeta também outros trojans bancários brasileiros, indicando evolução no ecossistema de ameaças locais. ## Referências - [MITRE ATT&CK - S0381](https://attack.mitre.org/software/S0381)