det0340-user-execution-malicious-copy-paste-browseremail-shell-with-obfuscated-o

# DET0340 — User Execution – Malicious Copy & Paste (browser/email → shell with obfuscated one-liner) – T1204.004 ## Descrição Esta estratégia detecta o vetor de ataque "malicious paste" — onde um usuário é enganado (via engenharia social, página web maliciosa ou email) a copiar e colar um comando ofuscado diretamente no terminal ou shell. A técnica [[t1204-user-execution|T1204-user-execution]] nesta modalidade explora a confiança do usuário em instruções aparentemente legítimas, frequentemente disfarçadas como comandos de instalação ou troubleshooting. A detecção foca em commands que chegam ao shell a partir de clipboard com características de obfuscação — codificação Base64, IEX (Invoke-Expression) em PowerShell, redirecionamento para bash via curl/wget, strings de URL com caracteres Únicode visualmente enganosos. A correlação entre dados de clipboard e o comando executado em seguida é o sinal central. Esta técnica, conhecida como "ClickFix" na literatura de ameaças, ganhou popularidade em 2024-2025 como vetor de initial access em campanhas de phishing avançadas e infostealers. É especialmente eficaz contra usuários técnicos que estão acostumados a executar comandos de documentação/StackOverflow sem válidação. ## Indicadores de Detecção - PowerShell ou bash iniciados com argumento longo de linha de comando provindo de evento de paste (dados de clipboard) - Execução de `powershell -enc` (Base64 encoded) imediatamente após evento de clipboard - `curl | bash` ou `wget | sh` com URLs não-corporativas coladas no terminal - Comandos contendo `IEX`, `Invoke-WebRequest` ou `DownloadString` executados via shell interativo - Caracteres Únicode em argumentos de linha de comando (homoglyphs, zero-width spaces) que diferem do display visual - Shell iniciado pelo browser (chrome.exe, firefox.exe → cmd.exe/powershell.exe) ## Técnicas Relacionadas - [[t1204-user-execution|T1204-user-execution]] — técnica primária - [[T1204.002-malicious-file]] — execução maliciosa pelo usuário via arquivo - [[t1059-command-and-scripting-interpreter|T1059-command-and-scripting-interpreter]] — shell onde o comando colado é executado - [[t1566-phishing|T1566-phishing]] — phishing como vetor que leva o usuário ao paste malicioso - [[t1027-obfuscated-files-or-information|T1027-obfuscated-files-or-information]] — ofuscação do comando colado ## Analytics Relacionadas - [[an0962-analytic-0962|AN0962 — Analytic 0962]] - [[an0963-analytic-0963|AN0963 — Analytic 0963]] - [[an0964-analytic-0964|AN0964 — Analytic 0964]] --- *Fonte: [MITRE ATT&CK — DET0340](https://attack.mitre.org/detectionstrategies/DET0340)*