s1102-pcexter - RunkIntel

# Pcexter > Tipo: **malware** · S1102 · [MITRE ATT&CK](https://attack.mitre.org/software/S1102) ## Descrição [[s1102-pcexter|Pcexter]] é um uploader utilizado pelo [[g1022-toddycat|ToddyCat]] desde pelo menos 2023, específicamente projetado para exfiltrar arquivos roubados para serviços de armazenamento em nuvem. O Pcexter complementa o toolkit de pós-exploração do [[g1022-toddycat|ToddyCat]], atuando como a ferramenta de exfiltração após outros componentes - como o [[ninjá|Ninjá]] e o [[s1099-samurai|Samurai]] - terem coletado os dados alvo. O malware usa DLL sideloading para execução furtiva, carregando sua DLL maliciosa a partir de um binário legítimo, e realiza descoberta de arquivos antes de fazer upload diretamente para serviços de nuvem (como OneDrive ou serviços similares). Esta abordagem de exfiltração via cloud torna o bloqueio difícil sem impactar produtividade corporativa. O [[g1022-toddycat|ToddyCat]] demonstra uma arquitetura de ferramentas modular onde cada componente tem função específica: acesso inicial, comando e controle, coleta, e exfiltração - o Pcexter sendo a peça final desta cadeia. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1567-002-exfiltration-to-cloud-storage|T1567.002 - Exfiltration to Cloud Storage]] - [[t1574-001-dll|T1574.001 - DLL]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] ## Grupos que Usam - [[g1022-toddycat|ToddyCat]] ## Detecção - Monitorar uploads para serviços de cloud storage em volumes anômalos por processos não autorizados ([[t1567-002-exfiltration-to-cloud-storage|T1567.002]]) - Detectar DLL sideloading por binários legítimos carregando DLLs de diretórios incomuns ([[t1574-001-dll|T1574.001]]) - Alertar para descoberta e acesso a tipos de arquivos específicos (documentos, planilhas, PDFs) em lote ([[t1083-file-and-directory-discovery|T1083]]) - Correlacionar com IoCs do Ninjá e Samurai para detecção completa do toolkit ToddyCat ## Relevância LATAM/Brasil A exfiltração via cloud storage documentada no Pcexter é uma técnica crescente em campanhas de espionagem que afetam organizações brasileiras. Com a ampla adoção de serviços como OneDrive, Google Drive e Dropbox em ambientes corporativos brasileiros, distinguir exfiltração maliciosa de upload legítimo requer análise comportamental avançada. Organizações governamentais e do setor de defesa devem implementar DLP (Data Loss Prevention) com consciência de contexto para detectar este tipo de exfiltração. ## Referências - [MITRE ATT&CK - S1102](https://attack.mitre.org/software/S1102)