det0054-internal-spearphishing-via-trusted-accounts

# DET0054 — Internal Spearphishing via Trusted Accounts ## Descrição Esta estratégia detecta campanhas de spearphishing interno, onde adversários com acesso a uma conta comprometida enviam mensagens maliciosas para outros usuários da mesma organização. Por se originar de endereços legítimos internos, o e-mail passa por filtros de reputação e gera maior confiança nas vítimas — tornando essa técnica particularmente eficaz para escalonamento de acesso em organizações corporativas e governamentais. Alinhada a [[t1534-internal-spearphishing|T1534-internal-spearphishing]], a técnica envolve uso de caixas de correio comprometidas, contas Teams/Slack/WhatsApp Business corporativas, ou sistemas de chamados internos para distribuir links maliciosos, anexos armados ou solicitações de transferência fraudulenta (BEC). Campanhas de APT direcionadas a setores financeiro e governo no Brasil frequentemente usam essa técnica após comprometimento inicial via phishing externo. A detecção deve correlacionar comportamento incomum de envio de e-mail (volume, horário, destinatários fora do padrão histórico), anomalias em cabeçalhos de e-mail (X-Originating-IP incomum, User-Agent de cliente de e-mail diferente do habitual), e presença de links ou anexos em mensagens de remetentes que raramente os enviam. A análise de similaridade com campanhas de phishing conhecidas é complementar. ## Indicadores de Detecção - Conta de e-mail interna enviando volume acima do percentil 99 do histórico do usuário em janela de 1 hora - E-mail interno contendo link para domínio externo registrado recentemente ou com baixa reputação - Mensagem interna com anexo executável (`.exe`, `.js`, `.lnk`, `.hta`) de remetente que nunca enviou anexos - Cabeçalho `X-Originating-IP` diferente do IP corporativo habitual do usuário remetente - Campanha de e-mails similares enviados para múltiplos destinatários em diferentes departamentos no mesmo período ## Técnicas Relacionadas - [[t1534-internal-spearphishing|T1534-internal-spearphishing]] — técnica primária detectada - [[t1566-phishing|T1566-phishing]] — categoria pai de phishing - [[T1114.002-email-collection-remote-email-collection]] — frequentemente precede o spearphishing interno - [[t1078-valid-accounts|T1078-valid-accounts]] — uso de credenciais comprometidas para envio - [[T1204.002-user-execution-malicious-file]] — execução de payload pelo destinatário ## Analytics Relacionadas - [[an0147-analytic-0147|AN0147 — Analytic 0147]] - [[an0148-analytic-0148|AN0148 — Analytic 0148]] - [[an0149-analytic-0149|AN0149 — Analytic 0149]] - [[an0150-analytic-0150|AN0150 — Analytic 0150]] - [[an0151-analytic-0151|AN0151 — Analytic 0151]] --- *Fonte: [MITRE ATT&CK — DET0054](https://attack.mitre.org/detectionstrategies/DET0054)*