# FlawedGrace > Tipo: **RAT** · S0383 · [MITRE ATT&CK](https://attack.mitre.org/software/S0383) ## Descrição [[s0383-flawedgrace|FlawedGrace]] (também referênciado como GraceWire) é uma ferramenta de acesso remoto (RAT) com funcionalidades completas, escrita em C++, observada pela primeira vez no final de 2017. Desenvolvida e utilizada exclusivamente pelo grupo [[ta505|TA505]], o FlawedGrace representa uma ferramenta de segunda geração do grupo, mais sofisticada que o [[flawedammyy|FlawedAmmyy]]. O malware é distribuído principalmente como payload secundário após comprometimento inicial via downloaders como o [[s0460-get2|Get2]] ou SDBbot, em campanhas de e-mail malicioso em larga escala. O [[s0383-flawedgrace|FlawedGrace]] oferece capacidades completas de acesso remoto incluindo controle de arquivos, execução de comandos, captura de tela, controle de câmera e microfone, movimentação lateral e tunelamento de tráfego. Uma característica distintiva é o uso extensivo de arquivos criptografados ([[t1027-013-encryptedencoded-file|T1027.013]]) para armazenar configurações e payloads adicionais, dificultando análise forense e detecção por soluções de segurança baseadas em conteúdo. O malware suporta plugins extensíveis que podem ser baixados dinâmicamente do servidor C2. O [[ta505|TA505]] integra o [[s0383-flawedgrace|FlawedGrace]] em operações de longo prazo, utilizando-o para estabelecer presença persistente em redes corporativas antes de implantar ransomware (Clop, Locky) ou realizar fraudes financeiras. O grupo é reconhecido por sua escala de operação - enviando dezenas de milhões de e-mails maliciosos por campanha - e pela constante atualização de seus arsenais para contornar detecções existentes. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] ## Grupos que Usam - [[ta505|TA505]] ## Detecção > [!tip] Indicadores de Detecção > - Monitorar processos C++ que carregam arquivos criptografados de diretórios temporários do usuário > - Detectar conexões de rede para IPs/domínios C2 associados ao TA505 (atualizar listas de IOCs regularmente) > - Alertar sobre instalação de serviços Windows por processos não-administrativos > - Identificar carregamento de DLLs reflexivo em processos legítimos do sistema > - Correlacionar campanhas de spam em massa com payloads JavaScript/VBScript como indicador de pré-infecção ## Relevância LATAM/Brasil O [[ta505|TA505]] conduziu campanhas documentadas no Brasil com e-mails em português utilizando lures de boletos bancários, faturas e notificações judiciais. O [[s0383-flawedgrace|FlawedGrace]] foi identificado como payload em campanhas que também distribuíam ransomware Clop, que atingiu organizações brasileiras. Empresas do setor financeiro, jurídico e de saúde são alvos recorrentes. A capacidade do FlawedGrace de atuar como plataforma de plugins permite ao TA505 adaptar o malware específicamente para o ambiente bancário brasileiro, incluindo módulos para interceptação de operações com sistemas de pagamento instantâneo como o PIX. ## Referências - [MITRE ATT&CK - S0383](https://attack.mitre.org/software/S0383)