# Imminent Monitor > Tipo: **RAT** · S0434 · [MITRE ATT&CK](https://attack.mitre.org/software/S0434) ## Descrição [[s0434-imminent-monitor|Imminent Monitor]] (IM-RAT) foi um Remote Access Trojan (RAT) comercial de commodity desenvolvido e vendido por um desenvolvedor australiano entre 2012 e 2019, quando foi desmantelado em operação coordenada pela Europol e pelo Australian Federal Police. O produto foi comercializado como "software de monitoramento remoto legítimo" por cerca de US$25, mas era amplamente usado por criminosos para espionagem não-autorizada, stalkerware e ataques cibernéticos. A operação de desmantelamento em novembro de 2019 resultou em 13 prisões em 9 países e mais de 14.500 compradores identificados. O Imminent Monitor era rico em funcionalidades de vigilância: keylogging de teclado e mouse, captura de tela e webcam, acesso remoto ao sistema de arquivos, extração de credenciais de browsers, shell remoto, acesso a microfone para gravação de áudio, e controle remoto da área de trabalho via GUI. Sua interface de gerenciamento era amigável, permitindo que usuários sem expertise técnica gerenciassem múltiplas vítimas simultaneamente. O RAT implementava verificações de sandbox para evitar análise em ambientes de detecção automática. O caso do Imminent Monitor ilustra o problema dual-use de ferramentas de RAT comerciais: vendidos sob o pretexto de monitoramento parental ou corporativo legítimo, frequentemente são usados para fins claramente ilícitos como cyberstalking, espionagem de parceiros românticos e ataques a organizações. A fácil acessibilidade de RATs de commodity como o Imminent Monitor democratizou as capacidades de espionagem, tornando-as disponíveis a atores sem experiência técnica significativa. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1555-credentials-from-password-stores|T1555 - Credentials from Password Stores]] - [[t1497-virtualizationsandbox-evasion|T1497 - Virtualization/Sandbox Evasion]] ## Detecção Embora o Imminent Monitor tenha sido desmantelado, amostras ainda circulam em repositórios de malware e podem ser reutilizadas. Assinaturas baseadas nos componentes do cliente e servidor do IM-RAT são amplamente disponíveis em bases de dados de antivírus. Para variantes não-detectadas, monitorar comportamentos característicos: keylogging via hooks de teclado, acesso a webcam/microfone por processos não-relacionados a videoconferência, e conexões para servidores C2 em portas customizáveis. ## Relevância LATAM/Brasil RATs de commodity como o Imminent Monitor são altamente relevantes para o Brasil, onde são usados tanto por atores de crime cibernético quanto em casos de cyberstalking e violência doméstica digital. A facilidade de uso e baixo custo tornam essas ferramentas acessíveis a atores sem expertise técnica. O Brasil teve compradores identificados do IM-RAT na investigação da Europol, confirmando uso local. Organizações de defesa de direitos digitais no Brasil (como o SaferNet Brasil) monitoram ativamente o uso de RATs em contextos de violência digital. ## Referências - [MITRE ATT&CK - S0434](https://attack.mitre.org/software/S0434) - [Europol - Imminent Monitor RAT Dismantled](https://www.europol.europa.eu/media-press/newsroom/news/international-crackdown-rat-imminent-monitor)