# Tofsee Botnet > [!medium] Botnet de Spam com Módulos de Mineração e Roubo de Credenciais > Tofsee (também Gheg) é um botnet Windows ativo desde 2013, especializado em envio de spam em larga escala. Possui arquitetura modular que permite aos operadores adicionar capacidades como mineração de criptomoedas, roubo de credenciais e download de payloads adicionais. ## Visão Geral O Tofsee (rastreado também como Gheg) é um botnet Windows com arquitetura modular ativo desde pelo menos 2013. Originalmente focado em spam de email em larga escala, o Tofsee evoluiu para incluir módulos de mineração de criptomoedas, roubo de credenciais de navegadores e download de malware adicional. A distribuição do Tofsee ocorre principalmente via email de phishing com links ou anexos maliciosos e via outros loaders como [[s0226-smokeloader|SmokeLoader]] e [[privateloader|PrivateLoader]]. Uma vez instalado, o malware inicia múltiplos módulos que operam em paralelo, maximizando a monetização de cada sistema comprometido. O Tofsee é responsável por uma parcela significativa do tráfego global de spam, sendo observado em campanhas de phishing que distribuem outros malwares como Dridex, Emotet e Qakbot. Sua longevidade indica desenvolvimento ativo e operadores experientes no ecossistema de cibercrime russo. > [!latam] Relevância para o Brasil e LATAM > O Brasil é historicamente um dos maiores alvos e fontes de spam de email na América Latina. Sistemas Windows comprometidos pelo Tofsee no Brasil contribuem para botnets de spam globais, e o módulo de roubo de credenciais ameaça usuários de e-banking e serviços online. Provedores de internet e empresas brasileiras devem monitorar indicadores de compromisso por Tofsee para evitar que seus sistemas sejam usados em campanhas de spam que afetam a reputação de domínios corporativos. ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1566-phishing\|T1566]] | Phishing com links ou anexos para download | | Impact | [[t1496-resource-hijacking\|T1496]] | Uso de recursos do sistema para mineração e spam | | C2 | [[t1071-application-layer-protocol\|T1071]] | HTTP/HTTPS para comunicação modular | ## Detecção - Monitorar volume incomum de envio de email SMTP a partir de hosts internos - Detectar processos Windows com consumo elevado de CPU por mineração - Alertar para conexões a portas não-padrão de email (587, 2525) por processos não esperados - Monitorar tráfego de rede para domínios C2 conhecidos do Tofsee via threat intel feeds ## Referências - [CISA - Tofsee Threat Advisory](https://www.cisa.gov) - [Talos Intelligence - Tofsee Botnet Analysis](https://blog.talosintelligence.com/) - [Malpedia - Tofsee](https://malpedia.caad.fkie.fraunhofer.de/details/win.tofsee)