# Cutwail > Tipo: **botnet** · [MITRE ATT&CK](https://attack.mitre.org/software/) ## Descrição [[s0334-cutwail|Cutwail]] (também conhecido como Pushdo) é uma das botnets de spam mais prolíficas e longevas da história, ativa desde 2007. Operada principalmente pelo grupo [[ta505|TA505]], a botnet é responsável por enviar bilhões de e-mails de spam por dia no seu pico de operação, distribuindo uma ampla variedade de malware incluindo [[s0384-dridex|Dridex]], [[locky|Locky]], [[clop|Clop]] ransomware e outros payloads criminosos. A resiliência da botnet ao longo de mais de uma década, sobrevivendo a múltiplas tentativas de takedown, demonstra a sofisticação operacional de seus mantenedores. O [[s0334-cutwail|Cutwail]] opera como serviço de distribuição de malware: operadores alugam capacidade da botnet para enviar campanhas de spam com payloads maliciosos em larga escala. O malware nos sistemas bot (máquinas comprometidas) recebe templates de e-mail e payloads do servidor C2 e distribui as campanhas para listas de alvos. A infraestrutura é projetada para resiliência: múltiplos servidores C2 redundantes, comunicação via HTTP e capacidade de rápida rotação de infraestrutura quando servidores são bloqueados. O papel do [[s0334-cutwail|Cutwail]] no ecossistema do cibercrime é o de multiplicador de escala: permite que grupos como [[ta505|TA505]] executem campanhas globais de distribuição de malware sem infraestrutura própria de envio de e-mail. A conexão com o [[s0384-dridex|Dridex]] e ransomware da família Evil Corp torna o Cutwail um componente crítico da cadeia de ataque que resultou em centenas de milhões de dólares em danos financeiros globalmente, incluindo em instituições financeiras brasileiras. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] - [[t1071-003-mail-protocols|T1071.003 - Mail Protocols]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] ## Grupos que Usam - [[ta505|TA505]] ## Detecção - Implementar filtros anti-spam robustos com análise de reputação de IP e domínio remetente ([[t1566-001-spearphishing-attachment|T1566.001]]) - Monitorar volumes anômalos de e-mail de saída - sistemas infectados enviam spam massivamente ([[t1071-003-mail-protocols|T1071.003]]) - Detectar conexões HTTP periódicas para servidores C2 Cutwail conhecidos ([[t1071-001-web-protocols|T1071.001]]) - Identificar e isolar dispositivos na rede gerando alto volume de tráfego SMTP não autorizado - Manter listas de bloqueio atualizadas com IPs de C2 conhecidos do Cutwail/Pushdo ## Relevância LATAM/Brasil O [[s0334-cutwail|Cutwail]] tem histórico documentado de campanhas em português do Brasil, utilizando iscas localizadas como notificações de bancos brasileiros (Bradesco, Itaú, Caixa), DETRAN, Receita Federal e Correios. O Brasil está entre os países com maior volume de spam recebido globalmente. Campanhas Cutwail distribuindo [[s0384-dridex|Dridex]] e trojans bancários adaptados para o sistema financeiro brasileiro foram documentadas por empresas de segurança como Kaspersky, ESET e Trend Micro. A combinação de phishing localizado com distribuição em larga escala torna o Cutwail especialmente eficaz contra usuários brasileiros. ## Referências - [MITRE ATT&CK - TA505](https://attack.mitre.org/groups/G0092) - [Secureworks - Cutwail Botnet](https://www.secureworks.com/research/pushdo)