s0138-oldbait - RunkIntel

# OLDBAIT > Tipo: **malware** · S0138 · [MITRE ATT&CK](https://attack.mitre.org/software/S0138) ## Descrição [[s0138-oldbait|OLDBAIT]] é um harvester de credenciais utilizado pelo [[g0007-apt28|APT28]] (Fancy Bear), grupo de espionagem russo vinculado ao GRU. Também conhecido como Sasfis, o OLDBAIT foi desenvolvido para extrair sistematicamente credenciais armazenadas em navegadores web e clientes de e-mail, além de senhas em password stores do Windows. O malware se mascara como software legítimo e utiliza obfuscação para dificultar análise, enviando as credenciais coletadas via protocolos HTTP e SMTP para infraestrutura controlada pelos operadores. Esta simplicidade funcional tornou o OLDBAIT uma ferramenta eficaz em campanhas de espionagem onde o objetivo principal é obter acesso a contas de e-mail, portais governamentais e sistemas internos de comunicação de alvos de alto valor. O [[g0007-apt28|APT28]] utilizou ferramentas de credential harvesting como o OLDBAIT em diversas campanhas de alto perfil contra governos, organizações militares e partidos políticos em países da OTAN e adjacentes. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] - [[t1071-003-mail-protocols|T1071.003 - Mail Protocols]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1555-credentials-from-password-stores|T1555 - Credentials from Password Stores]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] ## Grupos que Usam - [[g0007-apt28|APT28]] ## Detecção - Monitorar processos que acessam stores de credenciais de navegadores (arquivos de banco de dados SQLite do Chrome, Firefox, Edge) ([[t1555-003-credentials-from-web-browsers|T1555.003]]) - Detectar conexões SMTP de saída de processos não relacionados a clientes de e-mail ([[t1071-003-mail-protocols|T1071.003]]) - Alertar para acesso ao Windows Credential Manager por processos não-autorizados ([[t1555-credentials-from-password-stores|T1555]]) - Inspecionar binários que imitam nomes de processos legítimos do sistema ([[t1036-005-match-legitimate-resource-name-or-location|T1036.005]]) ## Relevância LATAM/Brasil O [[g0007-apt28|APT28]] é uma das ameaças de espionagem cibernética mais ativas globalmente. Ferramentas de credential harvesting como o OLDBAIT são utilizadas por múltiplos grupos contra alvos brasileiros, especialmente contra funcionários governamentais, jornalistas e pesquisadores com acesso a informações sensíveis. A proteção de credenciais de navegador com soluções como gerenciadores de senha e autenticação multifator é essencial para mitigar este vetor. ## Referências - [MITRE ATT&CK - S0138](https://attack.mitre.org/software/S0138)