det0341-clipboard-data-access-with-anomalous-context

# DET0341 — Clipboard Data Access with Anomalous Context ## Descrição Esta estratégia detecta acesso anômalo ao clipboard (área de transferência) por processos que não deveriam precisar ler ou monitorar dados copiados pelo usuário. A técnica [[t1115-clipboard-data|T1115-clipboard-data]] é utilizada por malware para capturar senhas, endereços de criptomoeda, dados bancários e outras informações sensíveis que o usuário copia durante operações normais. A detecção foca em processos sem histórico de acesso legítimo ao clipboard chamando APIs como `GetClipboardData`, `xclip`, `xdotool getclipboard` ou equivalentes de forma contínua (polling). O acesso em intervalos regulares é especialmente suspeito pois indica monitoramento ativo do clipboard em segundo plano — comportamento típico de infostealers e clippers de criptomoeda. O "clipper" é uma variante comum em LATAM, especialmente visando usuários de plataformas de criptomoeda e internet banking, onde o malware substitui endereços de carteira copiados pelo usuário pelo endereço do atacante. Monitorar a frequência e o contexto de acesso ao clipboard é fundamental. ## Indicadores de Detecção - Processos acessando clipboard em intervalos regulares (<1s) sem foco de janela ativo - API `GetClipboardData` chamada por processo em background (sem janela visível) - Processo de baixo prestígio (iniciado de temp, sem assinatura) acessando clipboard com frequência alta - Modificação do conteúdo do clipboard por processo que não é o aplicativo com foco - Acesso ao clipboard seguido de conexão de rede (exfiltração do conteúdo capturado) - `xclip -o` ou `pbpaste` executado por scripts em loop em Linux/macOS ## Técnicas Relacionadas - [[t1115-clipboard-data|T1115-clipboard-data]] — técnica primária - [[t1056-input-capture|T1056-input-capture]] — captura de entrada de forma mais ampla - [[T1056.001-keylogging]] — keylogging frequentemente combinado com clipper - [[t1041-exfiltration-over-c2-channel|T1041-exfiltration-over-c2-channel]] — exfiltração dos dados de clipboard capturados - [[t1204-user-execution|T1204-user-execution]] — execução pelo usuário que inicia o malware clipper ## Analytics Relacionadas - [[an0965-analytic-0965|AN0965 — Analytic 0965]] - [[an0966-analytic-0966|AN0966 — Analytic 0966]] - [[an0967-analytic-0967|AN0967 — Analytic 0967]] --- *Fonte: [MITRE ATT&CK — DET0341](https://attack.mitre.org/detectionstrategies/DET0341)*