# BadPatch > Tipo: **malware** · S0337 · [MITRE ATT&CK](https://attack.mitre.org/software/S0337) ## Descrição [[s0337-badpatch|BadPatch]] é um Trojan Windows multifuncional utilizado em campanhas de espionagem vinculadas ao Gaza Hackers (também rastreado como Molerats e Gaza Cybergang), um grupo hacktivista/espionagem com presumível base em Gaza e ligações com movimentos pró-palestinos. O BadPatch é uma ferramenta de espionagem versátil implantada em alvos de interesse geopolítico, especialmente entidades do Oriente Médio e organizações internacionais com interesse nessa região. O BadPatch oferece capacidades abrangentes de vigilância: keylogging ([[t1056-001-keylogging|T1056.001]]), captura de tela ([[t1113-screen-capture|T1113]]), coleta de dados do sistema ([[t1005-data-from-local-system|T1005]]) e staging local ([[t1074-001-local-data-staging|T1074.001]]). Para exfiltração, suporta tanto HTTP ([[t1071-001-web-protocols|T1071.001]]) quanto protocolos de e-mail ([[t1071-003-mail-protocols|T1071.003]]). Para persistência, usa chaves de registro de startup ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]). Inclui verificações de sandbox ([[t1497-001-system-checks|T1497.001]]) para evasão, e pode baixar e executar ferramentas adicionais ([[t1105-ingress-tool-transfer|T1105]]). Também realiza descoberta de software de segurança ([[t1518-001-security-software-discovery|T1518.001]]) para adaptar comportamento ao ambiente. O Gaza Hackers/Molerats tem histórico de campanhas focadas em entidades governamentais e diplomáticas no Oriente Médio e em países com interesse geopolítico na região. O BadPatch foi documentado em operações de 2017 que utilizaram spearphishing com isca de documentos sobre temas políticos do Oriente Médio para distribuir o Trojan a alvos específicos. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1071-003-mail-protocols|T1071.003 - Mail Protocols]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1497-001-system-checks|T1497.001 - System Checks]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] ## Detecção - **Análise de tráfego de e-mail**: monitorar conexões SMTP de saída não autorizadas de estações de trabalho - o BadPatch suporta exfiltração via protocolo de e-mail, incomum para endpoints que não são servidores de e-mail. - **Sysmon Event ID 1** (Process Creation): alertar sobre criação de processos filhos suspeitos a partir de aplicações de e-mail (Outlook, Thunderbird) - indicador de exploração via anexo. - **EDR telemetria**: detectar acesso a APIs de captura de tela (`BitBlt`, `GDI+`) ou hooks de teclado (`SetWindowsHookEx`) por processos não esperados. - **Referência Sigma**: `proc_creation_win_susp_keylogger_hooking.yml` - detecção de hooking de teclado suspeito; e `net_connection_win_susp_smtp.yml` para conexões SMTP de endpoints não-servidor. ## Relevância LATAM/Brasil O Gaza Hackers (Molerats) opera com motivação geopolítica focada no Oriente Médio, sem histórico de campanhas direcionadas ao Brasil ou à América Latina. Para organizações brasileiras, o BadPatch tem relevância analítica como exemplo de Trojan de espionagem multifuncional com capacidade de exfiltração via e-mail. Embaixadas e organizações diplomáticas brasileiras no Oriente Médio ou que se envolvem em assuntos geopolíticos da região devem estar cientes das táticas desse grupo. ## Referências - [MITRE ATT&CK - S0337](https://attack.mitre.org/software/S0337)