# TYPEFRAME > Tipo: **malware** · S0263 · [MITRE ATT&CK](https://attack.mitre.org/software/S0263) ## Descrição [[s0263-typeframe|TYPEFRAME]] é uma ferramenta de acesso remoto (RAT) utilizada pelo [[g0032-lazarus-group|Lazarus Group]], grupo de ameaça persistente avançada associado à Coreia do Norte. O malware é capaz de baixar e executar binários adicionais, instalar proxies e abrir sockets brutos, permitindo ao atacante manter controle persistente sobre sistemas comprometidos. Do ponto de vista técnico, o TYPEFRAME utiliza armazenamento fileless para ocultar-se de ferramentas de segurança tradicionais, modifica o registro do Windows para garantir persistência e usa portas não padrão para comúnicações C2, dificultando a detecção por soluções de segurança baseadas em assinaturas. O malware também desativa o firewall do sistema operacional para garantir conectividade irrestrita com sua infraestrutura de comando e controle. O TYPEFRAME foi identificado pelo US-CERT em 2018 em conjunto com outros malwares atribuídos ao Lazarus Group, como parte de alertas sobre atividade cibernética maliciosa da Coreia do Norte (Hidden Cobra). Seu uso em campanhas de espionagem e sabotagem ilustra o amplo portfólio de ferramentas operadas pelo [[g0032-lazarus-group|Lazarus Group]] contra alvos governamentais, financeiros e de defesa. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1027-011-fileless-storage|T1027.011 - Fileless Storage]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1562-004-disable-or-modify-system-firewall|T1562.004 - Disable or Modify System Firewall]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1090-proxy|T1090 - Proxy]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1680-local-storage-discovery|T1680 - Local Storage Discovery]] - [[t1571-non-standard-port|T1571 - Non-Standard Port]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] ## Grupos que Usam - [[g0032-lazarus-group|Lazarus Group]] ## Detecção A detecção do TYPEFRAME pode ser realizada monitorando a criação de novos serviços Windows suspeitos, especialmente aqueles com nomes incomuns ou instalados fora de processos de atualização legítimos. Regras YARA para as strings específicas do malware e análise comportamental de processos que desativam o firewall do Windows são abordagens eficazes. Monitorar comúnicações em portas não padrão e tráfego de rede com padrões de proxy suspeitos também ajuda a identificar infecções ativas. ## Relevância LATAM/Brasil O [[g0032-lazarus-group|Lazarus Group]], operador do TYPEFRAME, tem histórico de operações financeiras e de espionagem que atingem instituições bancárias e de criptomoedas globalmente, incluindo alvos na América Latina. Organizações financeiras brasileiras devem considerar as TTPs do Lazarus Group - incluindo o uso de RATs como TYPEFRAME - como referência para exercícios de threat hunting e endurecimento de controles de segurança em ambientes Windows. ## Referências - [MITRE ATT&CK - S0263](https://attack.mitre.org/software/S0263)