# ANDROMEDA > Tipo: **malware** · S1074 · [MITRE ATT&CK](https://attack.mitre.org/software/S1074) ## Descrição [[s1074-andromeda|ANDROMEDA]] é um malware commoditizado amplamente observado desde o início dos anos 2010 e que permanece ativo em infecções em uma grande variedade de indústrias. Sua longevidade é explicada pela disponibilidade como kit de crimeware em mercados clandestinos, tornando-o acessível a múltiplos atores com diferentes níveis de sofisticação. Apesar de ser considerado malware "legado", continua relevante pelo seu uso oportunista e pela infraestrutura de C2 reaproveitada por atores mais avançados. Um caso notável ocorreu na campanha [[c0026|C0026]] de 2022, em que agentes de ameaça re-registraram domínios C2 expirados do [[s1074-andromeda|ANDROMEDA]] para distribuir malware a alvos selecionados na Ucrânia, demonstrando que infraestrutura abandonada de malware antigo pode ser reaproveitada como vetor de entrega. O malware utiliza [[t1091-replication-through-removable-media|T1091 - Replication Through Removable Media]] para propagação, [[t1055-process-injection|T1055 - Process Injection]] para evasão, e [[t1036-005-match-legitimate-resource-name-or-location|T1036.005]] para mascarar sua presença no sistema. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1055-process-injection|T1055 - Process Injection]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1036-008-masquerade-file-type|T1036.008 - Masquerade File Type]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1091-replication-through-removable-media|T1091 - Replication Through Removable Media]] ## Referências - [MITRE ATT&CK - S1074](https://attack.mitre.org/software/S1074)