# Quick Assist > Tipo: **tool** · S1209 · [MITRE ATT&CK](https://attack.mitre.org/software/S1209) ## Descrição [[s1209-quick-assist|Quick Assist]] é uma ferramenta de assistência remota nativa da Microsoft, incluída por padrão no Windows 10 e posteriores. Permite que usuários compartilhem sua tela e, com aprovação explícita, cedam controle total do dispositivo para um assistente remoto - tipicamente suporte de TI. A ferramenta usa infraestrutura Microsoft (relay servers) e autenticação via conta Microsoft, tornando-a confiável para ambientes corporativos. Em operações maliciosas, [[g1046-storm-1811|Storm-1811]] - grupo identificado como operador de campanhas de vishing (voice phishing) e ransomware Black Basta - utiliza Quick Assist como vetor de acesso inicial. O ataque funciona assim: a vítima recebe uma chamada de "suporte técnico" que a convence a abrir o Quick Assist e compartilhar um código de 6 dígitos com o atacante, que então obtém controle total do dispositivo. A partir daí, Storm-1811 implanta payloads de ransomware, utiliza o sistema como ponto de pivô ou instala backdoors persistentes. O abuso de Quick Assist é particularmente difícil de bloquear sem impactar operações legítimas de suporte de TI. A mitigação primária é treinamento de conscientização para que funcionários nunca compartilhem códigos Quick Assist com solicitantes não verificados por canais oficiais, combinado com alertas de SIEM para uso fora do horário de trabalho ou por usuários que normalmente não utilizam a ferramenta. **Plataformas:** Windows, macOS ## Técnicas Utilizadas - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1125-video-capture|T1125 - Video Capture]] ## Grupos que Usam - [[g1046-storm-1811|Storm-1811]] ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 1 (ProcessCreaté):** `quickassist.exe` ou `msra.exe` executado fora do horário comercial, por usuários que nunca utilizaram a ferramenta antes, ou em sistemas de servidor - **Windows Event Logs:** Processo Quick Assist com sessão ativa prolongada (> 30 minutos) - sessões de suporte legítimo tendem a ser mais curtas - **Network:** Conexões para `relay.screencast.com` ou infraestrutura Microsoft Quick Assist seguidas imediatamente por atividade de malware (instalação de agente, criação de serviço) **Regras de detecção:** - Sigma: `proc_creation_win_quick_assist_abuse.yml` - detecta Quick Assist seguido de execução de scripts ou instalação de agentes remotos (SigmaHQ) - UEBA: Alerta para primeira utilização de Quick Assist por uma conta de usuário sem histórico prévio da ferramenta - Política: Restringir acesso ao Quick Assist via AppLocker ou WDAC em sistemas de alta criticidade (servidores, estações de trabalho financeiras) ## Relevância LATAM/Brasil O abuso de ferramentas de suporte remoto como [[s1209-quick-assist|Quick Assist]] tem aumentado em ataques de engenharia social no Brasil. Golpes de falso suporte técnico ("Microsoft Support Scam") são extremamente prevalentes no país, com criminosos ligando para vítimas em português e pedindo acesso via Quick Assist para "resolver problemas no computador". O [[g1046-storm-1811|Storm-1811]], responsável por campanhas de ransomware Black Basta via Quick Assist, representa a evolução profissional desses ataques de vishing, indo além do crime financeiro simples para implantação de ransomware corporativo. Organizações brasileiras devem incluir treinamento específico sobre ataques de vishing com Quick Assist em seus programas de conscientização. ## Referências - [MITRE ATT&CK - S1209](https://attack.mitre.org/software/S1209)