det0245-detection-strategy-for-spearphishing-voice-across-os-platforms

# DET0245 — Detection Strategy for Spearphishing Voice across OS platforms ## Descrição Detecta ataques de spearphishing via voz (vishing) que visam enganar usuários para executar ações maliciosas, como instalação de software de acesso remoto ou divulgação de credenciais. Esta técnica (T1566.004) é independente de plataforma e frequentemente combina engenharia social com instalação de RATs como AnyDesk, TeamViewer ou ferramentas personalizadas. Os indicadores chave incluem instalação de software de acesso remoto logo após chamadas de voz ou interações de suporte técnico falso, criação de contas de usuário ou adição a grupos privilegiados sem aprovação formal, e download de executáveis a partir de URLs compartilhadas por telefone. Padrões de comportamento anômalo pós-ligação são o sinal mais confiável. A telemetria necessária inclui logs de instalação de software e processos (EDR), registros de chamadas VoIP corporativas, DNS queries para domínios de ferramentas de suporte remoto e alertas de DLP para downloads de executáveis não assinados ou de baixa reputação. ## Indicadores de Detecção - Instalação de `AnyDesk`, `TeamViewer`, `ScreenConnect` ou `Zoho Assist` sem ticket de suporte associado - Download de executáveis `.exe`, `.msi` ou `.dmg` de domínios recém-registrados (< 30 dias) - Criação de conta administrativa ou adição ao grupo `Administrators` sem processo de aprovação - Sessão de acesso remoto iniciada por usuário não-técnico fora do horário de suporte - Execução de PowerShell ou bash com parâmetros de download (IEX, curl) imediatamente após evento de login - Processo filho de cliente VoIP (Zoom, Teams) spawning shell ou instalador ## Técnicas Relacionadas - [[t1566-phishing|T1566 — Phishing]] - [[t1219-remote-access-tools|T1219 — Remote Access Software]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] ## Analytics Relacionadas - [[an0683-analytic-0683|AN0683 — Analytic 0683]] - [[an0684-analytic-0684|AN0684 — Analytic 0684]] - [[an0685-analytic-0685|AN0685 — Analytic 0685]] - [[an0686-analytic-0686|AN0686 — Analytic 0686]] --- *Fonte: [MITRE ATT&CK — DET0245](https://attack.mitre.org/detectionstrategies/DET0245)*