s0543-spark - RunkIntel

# Spark > Tipo: **malware** · S0543 · [MITRE ATT&CK](https://attack.mitre.org/software/S0543) ## Descrição [[s0543-spark|Spark]] é um backdoor para Windows atribuído ao grupo [[g0021-molerats|Molerats]], em atividade desde pelo menos 2017. O malware é distribuído principalmente por meio de campanhas de spearphishing direcionadas a alvos no Oriente Médio, utilizando documentos isca com temáticas geopolíticas para induzir a execução. Uma vez instalado, o Spark estabelece comunicação com servidores de comando e controle (C2) via protocolos web, permitindo ao operador executar comandos remotos e exfiltrar informações do sistema comprometido. O Spark aplica técnicas de [[t1027-002-software-packing|software packing]] para dificultar a análise estática, além de realizar verificações de idioma do sistema ([[t1614-001-system-language-discovery|T1614.001]]) para confirmar que o ambiente alvo é condizente com os objetivos da campanha. Comandos são executados via [[t1059-003-windows-command-shell|Windows Command Shell]], e os dados coletados - incluindo informações sobre o dono do sistema ([[t1033-system-owneruser-discovery|T1033]]) e configurações do ambiente ([[t1082-system-information-discovery|T1082]]) - são exfiltrados pelo canal C2 em formato codificado ([[t1132-001-standard-encoding|T1132.001]]). **Plataformas:** Windows ## Técnicas Utilizadas - [[t1027-002-software-packing|T1027.002 - Software Packing]] - [[t1614-001-system-language-discovery|T1614.001 - System Language Discovery]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1132-001-standard-encoding|T1132.001 - Standard Encoding]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1497-002-user-activity-based-checks|T1497.002 - User Activity Based Checks]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] ## Grupos que Usam - [[g0021-molerats|Molerats]] ## Referências - [MITRE ATT&CK - S0543](https://attack.mitre.org/software/S0543)