s0257-vermin - RunkIntel

# VERMIN > Tipo: **malware** · S0257 · [MITRE ATT&CK](https://attack.mitre.org/software/S0257) ## Descrição [[s0257-vermin|VERMIN]] é uma ferramenta de acesso remoto (RAT) escrita no framework Microsoft .NET, composta majoritariamente por código original com alguns componentes de código aberto incorporados. O malware foi identificado em campanhas direcionadas a organizações ucranianas a partir de 2018, sendo utilizado em operações de espionagem com foco em coleta de informações de alto valor. O VERMIN possui um conjunto abrangente de capacidades de vigilância: captura de tela, keylogging, captura de áudio via microfone, coleta de dados da área de transferência e coleta automatizada de arquivos - todos comprimidos antes da exfiltração. A descoberta de software de segurança instalado no sistema alvo e o empacotamento do código malicioso (software packing) visam a evasão de detecção por soluções antivírus. O malware apaga seus próprios rastros após operações de coleta. A combinação de captura de áudio, keylogging e screenshots torna o VERMIN uma ferramenta de vigilância particularmente invasiva, adequada para operações de espionagem que visam coletar informações estratégicas de alto nível a partir de computadores de funcionários-chave em organizações governamentais ou militares. Sua base em .NET facilita o desenvolvimento e manutenção pelo ator de ameaça responsável. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1027-002-software-packing|T1027.002 - Software Packing]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1123-audio-capture|T1123 - Audio Capture]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1115-clipboard-data|T1115 - Clipboard Data]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1119-automated-collection|T1119 - Automated Collection]] - [[t1560-archive-collected-data|T1560 - Archive Collected Data]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] ## Detecção A detecção do VERMIN deve focar em comportamentos de acesso ao microfone por processos não relacionados a aplicações de comunicação legítimas, keylogging via hooking de teclado (SetWindowsHookEx), e coleta em lote de arquivos seguida de compressão e envio pela rede. Monitorar binários .NET que realizam múltiplas operações de vigilância em sequência e análise comportamental via EDR são as abordagens mais eficazes. O uso de sandboxes com análise de rede também pode identificar o padrão de exfiltração. ## Relevância LATAM/Brasil RATs com capacidades de vigilância completa como o VERMIN representam uma ameaça a organizações governamentais e militares brasileiras, especialmente aquelas envolvidas em negociações diplomáticas ou com acesso a informações estratégicas sensíveis. A combinação de captura de áudio e keylogging torna este tipo de ferramenta particularmente preocupante para ambientes onde conversas presenciais e reuniões confidenciais acontecem próximas a computadores comprometidos. Políticas de segurança física (desabilitar microfones em áreas sensíveis) complementam as defesas técnicas. ## Referências - [MITRE ATT&CK - S0257](https://attack.mitre.org/software/S0257)