det0115-detection-strategy-for-spearphishing-via-a-service-across-os-platforms

# DET0115 — Detection Strategy for Spearphishing via a Service across OS Platforms ## Descrição Esta estratégia detecta campanhas de spearphishing entregues via serviços de terceiros em vez de e-mail corporativo — LinkedIn, WhatsApp, Telegram, Discord, Facebook Messenger, Slack externo e plataformas de recrutamento como Indeed e Glassdoor. O vetor de serviço externo contorna gateways de e-mail corporativos e filtros anti-spam, explorando a confiança que os usuários depositam em plataformas sociais e profissionais. O [[g0032-lazarus-group]] é o grupo mais prolífico nesta técnica, com a operação [[operation-dreamjob]] utilizando LinkedIn sistematicamente para abordar engenheiros de defesa e blockchain com falsas propostas de emprego contendo anexos maliciosos ou links de phishing. No contexto LATAM, WhatsApp é vetor preferêncial de grupos de crime financeiro brasileiro que enviam links de boleto falso ou aplicativos de banco modificados. A detecção foca em: análise de comportamento após engajamento em plataformas sociais (download de arquivo de plataforma social → execução), monitoramento de DNS para domínios de C2 após acesso a LinkedIn/WhatsApp, e DLP para documentos baixados de serviços externos. Correlacionar evento de download de LinkedIn/Telegram com execução de processo ou conexão de rede suspeita é o sinal mais forte disponível cross-platform. ## Indicadores de Detecção - Download de arquivo executável, Office com macro, ou LNK a partir de LinkedIn, Telegram, Discord, ou WhatsApp Web - Arquivo baixado de serviço social executado imediatamente após download (sem análise prévia) - Browser acessando domínio de C2 após sessão em plataforma de recrutamento ou rede social - Processo `linkedin.com`, `web.telegram.org`, ou similar como parent process de documento Office malicioso - Comúnicação DNS/HTTP para domínio de baixa reputação após download de plataforma de mensagens - Arquivo `.zip` ou `.iso` baixado de DM de plataforma social contendo LNK ou executável ## Técnicas Relacionadas - [[t1566003-spearphishing-via-service]] — Técnica principal - [[t1566-phishing]] — Categoria pai - [[t1204002-user-execution-malicious-file]] — Execução de arquivo malicioso pelo usuário - [[t1071-application-layer-protocol]] — C2 via protocolos de aplicação - [[t1598-phishing-for-information]] — Phishing para coleta de informações via serviço ## Analytics Relacionadas - [[an0320-analytic-0320|AN0320 — Analytic 0320]] - [[an0321-analytic-0321|AN0321 — Analytic 0321]] - [[an0322-analytic-0322|AN0322 — Analytic 0322]] --- *Fonte: [MITRE ATT&CK — DET0115](https://attack.mitre.org/detectionstrategies/DET0115)*