# DustySky > Tipo: **malware** · S0062 · [MITRE ATT&CK](https://attack.mitre.org/software/S0062) ## Descrição [[s0062-dustysky|DustySky]] (também conhecido como NeD Worm) é um malware de múltiplos estágios escrito em .NET utilizado pelo [[g0021-molerats|Molerats]] desde maio de 2015. O grupo Molerats, de provável origem palestina, emprega o DustySky principalmente em campanhas de espionagem contra alvos no Oriente Médio, incluindo governos, organizações políticas e empresas de tecnologia. O DustySky opera em dois estágios: um primeiro módulo de reconhecimento que avalia o ambiente e coleta informações básicas do sistema, seguido por um segundo módulo completo com capacidades de keylogging, captura de tela e exfiltração. O malware se propaga também por mídias removíveis, ampliando seu alcance além de conexões de rede. A comunicação C2 utiliza protocolos web padrão para misturar o tráfego malicioso ao legítimo. O grupo Molerats é conhecido por personalizar as iscas de spear-phishing de acordo com o contexto geopolítico do alvo, utilizando documentos em árabe, hebraico e inglês. A persistência é estabelecida via chaves de Run no registro do Windows, e o DustySky realiza varredura de dispositivos periféricos e compartilhamentos de rede para expandir o alcance da infecção internamente. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1518-software-discovery|T1518 - Software Discovery]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1091-replication-through-removable-media|T1091 - Replication Through Removable Media]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1560-001-archive-via-utility|T1560.001 - Archive via Utility]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1120-peripheral-device-discovery|T1120 - Peripheral Device Discovery]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1570-lateral-tool-transfer|T1570 - Lateral Tool Transfer]] ## Grupos que Usam - [[g0021-molerats|Molerats]] ## Detecção - Monitorar processos .NET não reconhecidos que realizam múltiplas operações de coleta (keylogging, screenshot, file enumeration) em sequência (T1056.001, T1113) - Detectar propagação via mídia removível: alertar sobre criação de arquivos executáveis em dispositivos USB logo após sua inserção (T1091) - Alertar sobre arquivos comprimidos criados em diretórios temporários por processos não-usuário e subsequentemente transferidos via HTTP (T1560.001, T1041) - Monitorar consultas WMI por processos suspeitos - o DustySky usa WMI para reconhecimento do sistema (T1047) - Implementar análise comportamental para detectar padrão de stagning: coleta local → compressão → exfiltração via canal C2 ## Relevância LATAM/Brasil O grupo [[g0021-molerats|Molerats]] foca primariamente em alvos do Oriente Médio, mas suas TTPs de espionagem são aplicáveis a qualquer contexto geopolítico. Organizações brasileiras envolvidas em relações diplomáticas com países do Oriente Médio, assim como ONGs e empresas de mídia que cobrem conflitos regionais, representam alvos potenciais de grupos de espionagem similares. As TTPs do DustySky - spear-phishing com documentos maliciosos, persistência via registro e propagação por USB - são amplamente utilizadas por múltiplos atores de ameaça que atuam na América Latina, tornando sua detecção prioritária. ## Referências - [MITRE ATT&CK - S0062](https://attack.mitre.org/software/S0062)