# yty > Tipo: **malware** · S0248 · [MITRE ATT&CK](https://attack.mitre.org/software/S0248) ## Descrição [[s0248-yty|yty]] é um framework de malware modular baseado em plugins, cujos componentes são escritos em diversas linguagens de programação - demonstrando uma arquitetura de desenvolvimento flexível e a capacidade de o operador expandir funcionalidades de forma independente. O design modular do yty permite carregar e descarregar plugins conforme necessário, adaptando as capacidades do implant aos objetivos específicos de cada operação sem necessidade de reimplantação de um único binário monolítico. O framework yty oferece um conjunto abrangente de capacidades de reconhecimento e coleta: keylogging para captura de senhas e comúnicações, captura de tela, descoberta de usuários, processos, sistemas remotos e configuração de rede, além de coleta de dados do sistema local e armazenamento local. O uso de junk code insertion e software packing protege o malware de análise estática, enquanto system checks detectam ambientes de análise sandbox antes de executar funcionalidades principais. A comunicação bidirecional via web services permite tanto receber comandos quanto exfiltrar dados coletados. A abordagem de armazenamento local (local storage discovery) sugere que o yty identifica e prioriza dados de alto valor armazenados no sistema antes de exfiltrar, otimizando operações em ambientes com conectividade de rede limitada ou monitoramento intenso. Esse design operacional é comum em malware de espionagem sofisticado que prioriza sigilo sobre velocidade de exfiltração, característico de operações de longa duração. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1680-local-storage-discovery|T1680 - Local Storage Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1102-002-bidirectional-communication|T1102.002 - Bidirectional Commúnication]] - [[t1027-016-junk-code-insertion|T1027.016 - Junk Code Insertion]] - [[t1018-remote-system-discovery|T1018 - Remote System Discovery]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1497-001-system-checks|T1497.001 - System Checks]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1027-002-software-packing|T1027.002 - Software Packing]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] ## Detecção A detecção do yty deve focar em: criação de Scheduled Tasks por processos não relacionados a software legítimo de automação, hooking de teclado (keylogging) detectável via monitoramento de APIs do Windows como SetWindowsHookEx, e sequências de descoberta extensiva do sistema (múltiplas queries sobre usuários, processos e rede em curto intervalo). A natureza modular do framework implica que diferentes plugins podem ter assinaturas distintas - análise comportamental que correlaciona múltiplos indicadores de reconhecimento é mais eficaz que buscar assinaturas específicas. Soluções EDR com baseline comportamental detectam melhor o yty do que soluções baseadas em assinaturas. ## Relevância LATAM/Brasil O yty representa uma classe de frameworks de espionagem modulares cujas técnicas - keylogging, captura de tela, reconhecimento extensivo - são universalmente relevantes para qualquer organização com dados de alto valor. Embora não hajá atribuição específica do yty a campanhas na América Latina, seu design modular o torna adaptável a diferentes contextos operacionais. Organizações brasileiras nos setores governamental, financeiro e de energia devem incluir frameworks modulares de espionagem em seus threat models e garantir controles de detecção comportamental que identifiquem padrões de reconhecimento sistemático, independentemente da ferramenta específica utilizada. ## Referências - [MITRE ATT&CK - S0248](https://attack.mitre.org/software/S0248)