# SpicyOmelette > Tipo: **malware** · S0646 · [MITRE ATT&CK](https://attack.mitre.org/software/S0646) ## Cadeia de Infecção ```mermaid graph TB A["📧 Spear-phishing<br/>Link malicioso via AWS<br/>Engodo PDF falso"] --> B["💥 Download payload<br/>SpicyOmelette via URL<br/>Certificado assinado T1553.002"] B --> C["🔧 Execução JavaScript<br/>T1059.007 em memória<br/>Reconhecimento inicial"] C --> D["🔍 Discovery abrangente<br/>Sistema + Rede + Processos<br/>T1082 / T1016 / T1018"] D --> E["📤 Coleta e exfiltração<br/>T1005 dados locais<br/>Download ferramentas adicionais"] classDef delivery fill:#e74c3c,color:#fff classDef exploit fill:#e67e22,color:#fff classDef install fill:#3498db,color:#fff classDef recon fill:#27ae60,color:#fff classDef exfil fill:#9b59b6,color:#fff class A delivery class B exploit class C install class D recon class E exfil ``` ## Descrição [[s0646-spicyomelette|SpicyOmelette]] é uma ferramenta de acesso remoto (RAT) baseada em JavaScript utilizada pelo [[g0080-cobalt-group|Cobalt Group]] desde pelo menos 2018 em campanhas direcionadas a instituições financeiras. O malware foi observado sendo distribuído via e-mails de spear-phishing contendo links maliciosos que redirecionavam vítimas para URLs hospedadas na Amazon Web Services (AWS), onde o payload era entregue disfarçado de documento PDF legítimo. Uma característica distintiva do SpicyOmelette é seu uso de assinatura de código ([[t1553-002-code-signing|T1553.002]]) para contornar controles de segurança baseados em reputação - o [[g0080-cobalt-group|Cobalt Group]] abusou de certificados legítimos para válidar o malware frente a defesas como SmartScreen. Uma vez executado, o SpicyOmelette realiza reconhecimento abrangente do sistema comprometido: coleta informações do sistema ([[t1082-system-information-discovery|T1082]]), configurações de rede ([[t1016-system-network-configuration-discovery|T1016]]), descobre outros sistemas na rede ([[t1018-remote-system-discovery|T1018]]) e identifica produtos de segurança instalados ([[t1518-001-security-software-discovery|T1518.001]]). Estas informações orientam as etapas subsequentes da operação. O [[g0080-cobalt-group|Cobalt Group]] (também conhecido como Cobalt Spider) é um grupo de ameaça financeiramente motivado especializado em ataques a bancos, sistemas de pagamento e caixas eletrônicos. O grupo foi responsável por dezenas de roubos bancários bem documentados globalmente, utilizando o SpicyOmelette como ferramenta de reconhecimento inicial antes de implantar ferramentas mais destrutivas como o [[s0154-cobalt-strike|Cobalt Strike]] para movimento lateral e roubo de acesso a sistemas bancários críticos. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1518-software-discovery|T1518 - Software Discovery]] - [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1059-007-javascript|T1059.007 - JavaScript]] - [[t1204-001-malicious-link|T1204.001 - Malicious Link]] - [[t1018-remote-system-discovery|T1018 - Remote System Discovery]] - [[t1553-002-code-signing|T1553.002 - Code Signing]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] ## Grupos que Usam - [[g0080-cobalt-group|Cobalt Group]] ## Detecção - **Monitoramento de processos JavaScript** - Detectar execução de scripts JavaScript a partir de processos como `wscript.exe` ou `cscript.exe` que realizam chamadas de rede (indicativo de [[t1059-007-javascript|T1059.007]] combinado com C2) - **Inspeção de certificados de assinatura** - Auditar certificados utilizados para assinar executáveis ou scripts JavaScript distribuídos externamente; alertar para certificados emitidos a entidades desconhecidas ([[t1553-002-code-signing|T1553.002]]) - **Correlação de links em e-mails** - Filtros anti-phishing que identifiquem URLs redirecionadas para serviços de nuvem legítimos (AWS, Azure) usados para hospedar payloads ([[t1566-002-spearphishing-link|T1566.002]]) - **Detecção de reconhecimento de rede** - Alertar para varreduras internas de rede ([[t1018-remote-system-discovery|T1018]]) e enumeração de configurações de rede após execução de scripts não assinados ## Relevância LATAM/Brasil O [[g0080-cobalt-group|Cobalt Group]] tem histórico de ataques a bancos na América Latina e Europa Oriental. O Brasil, com um dos maiores setores bancários da América Latina e elevado índice de transações digitais, representa um alvo de interesse para este grupo. A técnica de distribuição via links AWS usada pelo SpicyOmelette é especialmente eficaz em ambientes corporativos que permitem tráfego irrestrito para serviços de nuvem como Amazon, dificultando bloqueios baseados em reputação de domínio. Instituições financeiras brasileiras devem monitorar ativamente indicadores de comprometimento do Cobalt Group. ## Referências - [1](https://attack.mitre.org/software/S0646) MITRE ATT&CK - SpicyOmelette S0646 - [2](https://www.anomali.com/it/blog/weekly-threat-briefing-cobalt-threat-group-serves-up-spicyomelette-fresh-bank-attacks) Anomali - Cobalt Group SpicyOmelette Bank Attacks (2018)