# Dtrack > Tipo: **malware** · S0567 · [MITRE ATT&CK](https://attack.mitre.org/software/S0567) ## Descrição [[s0567-dtrack|Dtrack]] é um spyware descoberto em 2019, utilizado contra instituições financeiras indianas, instalações de pesquisa e a usina nuclear de Kudankulam (Índia). O [[s0567-dtrack|Dtrack]] compartilha semelhanças com a campanha DarkSeoul, atribuída ao [[g0032-lazarus-group|Lazarus Group]], e representa um instrumento de espionagem de longa duração do arsenal norte-coreano contra alvos de infraestrutura crítica. O Dtrack é distribuído como um dropper que decodifica e executa um payload oculto de múltiplas camadas. Após execução, o malware realiza reconhecimento extensivo: coleta histórico do navegador, keylogging, capturas de tela periódicas e informações detalhadas do sistema - tudo isso stagead em um arquivo local antes de ser exfiltrado. O uso de técnicas de hijacking de fluxo de execução e de mascaramento de nomes de arquivos dificulta a identificação por ferramentas de segurança convencionais. Uma característica distintiva é a capacidade de configurar-se como um serviço Windows para garantir persistência persistência automática. Em ataques observados contra o setor financeiro, o Dtrack serviu como ferramenta de reconhecimento preambular antes de ataques destrutivos - padrão consistente com a estratégia dupla do Lazarus Group de espionagem seguida de sabotagem ou roubo financeiro. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1574-hijack-execution-flow|T1574 - Hijack Execution Flow]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1547-boot-or-logon-autostart-execution|T1547 - Boot or Logon Autostart Execution]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1217-browser-information-discovery|T1217 - Browser Information Discovery]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1049-system-network-connections-discovery|T1049 - System Network Connections Discovery]] - [[t1027-009-embedded-payloads|T1027.009 - Embedded Payloads]] - [[t1012-query-registry|T1012 - Query Registry]] ## Grupos que Usam - [[g0032-lazarus-group|Lazarus Group]] ## Detecção - Monitorar criação de serviços Windows novos ou modificados por processos não relacionados a instaladores legítimos (T1543.003) - Alertar sobre volume anômalo de leituras de arquivos e queries de registro combinadas com comunicação de rede - padrão típico de coleta e staging de Dtrack (T1074.001) - Detectar keylogging via monitoramento de chamadas de API do Windows `SetWindowsHookEx` ou `GetAsyncKeyState` por processos não reconhecidos (T1056.001) - Inspecionar payloads com múltiplas camadas de codificação embutidas em executáveis (T1027.009) com ferramentas de análise estática/dinâmica - Monitorar acesso ao histórico de navegadores (arquivos SQLite em `%APPDATA%`) por processos não-navegadores (T1217) ## Relevância LATAM/Brasil O [[g0032-lazarus-group|Lazarus Group]] tem documentado interesse em instituições financeiras e infraestrutura crítica globalmente. O ataque à usina nuclear de Kudankulam demonstra a disposição do grupo em mirar infraestrutura crítica de energia - setor estratégico no Brasil (Petrobras, Itaipu, distribuidoras elétricas). O setor financeiro brasileiro, um dos maiores e mais digitalizados do mundo, é alvo natural. O Dtrack como ferramenta de reconhecimento pré-ataque deve ser monitorado em ambientes de alta criticidade, especialmente em bancos, operadoras de infraestrutura de energia e organizações governamentais estratégicas. ## Referências - [MITRE ATT&CK - S0567](https://attack.mitre.org/software/S0567)