# TEXTMATE > Tipo: **malware** · S0146 · [MITRE ATT&CK](https://attack.mitre.org/software/S0146) ## Cadeia de Infecção ```mermaid graph TB A["📧 Spear-phishing alvo<br/>SEC filings - documentos VBS<br/>FIN7 targeting financeiro"] --> B["💻 POWERSOURCE stage 1<br/>DNS TXT C2<br/>T1071.004 / T1059.001"] B --> C["🔄 Download TEXTMATE<br/>Stage 2 memory-resident<br/>PowerShell sem arquivo em disco"] C --> D["📡 Reverse shell DNS<br/>Comandos via TXT queries<br/>T1071.004 - difícil detecção"] D --> E["💰 Acao nos objetivos<br/>CARBANAK / Cobalt Strike<br/>Fraude bancaria e roubos"] classDef delivery fill:#e74c3c,color:#fff classDef stage1 fill:#e67e22,color:#fff classDef stage2 fill:#3498db,color:#fff classDef c2 fill:#27ae60,color:#fff classDef impact fill:#9b59b6,color:#fff class A delivery class B stage1 class C stage2 class D c2 class E impact ``` ## Descrição [[textmaté|TEXTMATE]] (também identificado como Stage 4 do DNSMessenger pela Talos Intelligence da Cisco) é um backdoor PowerShell de segundo estágio exclusivamente residente em memória, observado em operações do grupo [[g0046-fin7|FIN7]] em fevereiro de 2017. O TEXTMATE é notável por sua natureza "fileless" - ao não escrever nada em disco, ele contorna soluções de segurança baseadas em análise de arquivos e forensics tradicionais. Sua análise foi realizada pela Mandiant/FireEye em uma campanha que visava pessoal envolvido em registros SEC (Securities and Exchange Commission) nos EUA. O TEXTMATE opera como payload de segunda fase entregue pelo [[s0145-powersource|POWERSOURCE]] - um backdoor DNS que serve como downloader. A cadeia de ataque inteira usa registros DNS TXT para comunicação C2 ([[t1071-004-dns|T1071.004]]), tornando o tráfego malicioso indistinguível de consultas DNS legítimas na maioria dos ambientes que não inspecionam conteúdo DNS. O TEXTMATE fornece um shell reverso aos atacantes via comandos tunnelados em queries DNS TXT, permitindo execução arbitrária de comandos ([[t1059-003-windows-command-shell|T1059.003]]) no sistema comprometido sem gerar tráfego HTTP/HTTPS detectável. Na mesma campanha do [[g0046-fin7|FIN7]], foram observados payloads adicionais sendo entregue via POWERSOURCE: beacons [[s0154-cobalt-strike|Cobalt Strike]] e backdoors [[g0008-carbanak|CARBANAK]] - confirmando o papel do TEXTMATE como ferramenta de persistência inicial antes da implantação do arsenal completo do FIN7 para operações de fraude bancária. O [[g0046-fin7|FIN7]] é um dos grupos de crime cibernético financeiro mais prolíficos, responsável por bilhões em perdas ao setor financeiro globalmente. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1071-004-dns|T1071.004 - DNS]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] ## Grupos que Usam - [[g0046-fin7|FIN7]] ## Detecção - **Inspeção de DNS** - Monitorar queries DNS TXT com respostas incomuns contendo strings longas codificadas em Base64 ou comandos PowerShell - principal canal de C2 do TEXTMATE ([[t1071-004-dns|T1071.004]]) - **PowerShell Script Block Logging** - Habilitar `ScriptBlockLogging` e `ModuleLogging` no PowerShell para detectar execução de scripts obfuscados em memória; TEXTMATE opera exclusivamente em memória ([[t1059-003-windows-command-shell|T1059.003]]) - **Análise de resolvers DNS** - Identificar processos não-browser realizando alto volume de queries DNS TXT; correlacionar com execução de PowerShell no mesmo timeframe - **Regras Sigma** - `proc_creation_win_powershell_encoded_cmd.yml` detecta execução de PowerShell com parâmetros codificados; `net_connection_win_powershell.yml` detecta conexões de rede originadas de PowerShell ## Relevância LATAM/Brasil O [[g0046-fin7|FIN7]], operador do TEXTMATE, é um grupo que tem como alvo primário o setor financeiro global. Bancos brasileiros e instituições financeiras na América Latina representam alvos potenciais para o arsenal do FIN7. A técnica de C2 via DNS TXT usada pelo TEXTMATE é especialmente eficaz no Brasil, onde muitas organizações financeiras não possuem capacidade de inspeção do conteúdo de respostas DNS e não monitoram anomalias no protocolo DNS além de volume e destinos. A natureza fileless do TEXTMATE também dificulta sua detecção em ambientes com cobertura de EDR limitada. ## Referências - [1](https://attack.mitre.org/software/S0146) MITRE ATT&CK - TEXTMATE S0146 - [2](https://cloud.google.com/blog/topics/threat-intelligence/fin7-spear-phishing-campaign-targets-personnel-involved-sec-filings) Mandiant/FireEye - FIN7 Spear Phishing Campaign Targets SEC Filings (2017)