# DET0893 — Detection of Link Target ## Descrição A estratégia DET0893 foca na detecção de preparação e staging de conteúdo malicioso em alvos de links — páginas web, documentos ou recursos que são o destino final de links maliciosos em e-mails de phishing, posts em redes sociais ou mensagens diretas. O "link target" é a infraestrutura de entrega do payload: a página de coleta de credenciais, o servidor que hospeda o exploit de navegador, ou a landing page que redireciona para download de malware. Adversários investem significativamente na qualidade dos link targets: páginas de phishing replicam fielmente o design do site legítimo impersonado, incluindo SSL, favicon, imagens e JavaScript. Técnicas avançadas incluem uso de kits de phishing que replicam automaticamente sites alvo (Evilginx2, Modlishka), detecção de bots e pesquisadores para servir conteúdo benigno a análise automática, e personalização de conteúdo por geolocalização ou token de vítima para dificultar análise. A detecção combina sandboxing de URLs antes da chegada ao endpoint do usuário (visitando URLs de forma automatizada para classificação de conteúdo), análise de redirecionamentos em cadeia, e correlação com feeds de inteligência sobre kits de phishing e infra de staging conhecidos. ## Indicadores de Detecção - URL visitada por sandbox retornando página de login idêntica a serviço legítimo em domínio diferente - Link target retornando conteúdo benigno para análise automatizada mas malicioso para usuário real (evasão de sandbox) - Página web com formulário de coleta de credenciais hospedada em domínio recém-registrado - URL encurtada (bit.ly, t.co) redirecionando para domínio não reconhecido com certificado recente - Página de phishing identificada em feed de threat intelligence (PhishTank, OpenPhish) sendo acessada por usuário - Redirect chain de URL passando por múltiplos domínios antes de entregar payload final - Formulário HTML submetendo dados para endpoint externo diferente do domínio da página ## Técnicas Relacionadas - [[T1608.005-link-target|T1608.005 — Stage Capabilities: Link Target]] - [[t1566-002-spearphishing-link|T1566.002 — Phishing: Spearphishing Link]] - [[t1189-drive-by-compromise|T1189 — Drive-by Compromise]] - [[T1204.001-malicious-link|T1204.001 — User Execution: Malicious Link]] - [[T1056.003-web-portal-capture|T1056.003 — Input Capture: Web Portal Capture]] - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] ## Analytics Relacionadas - [[an2025-analytic-2025|AN2025 — Analytic 2025]] --- *Fonte: [MITRE ATT&CK — DET0893](https://attack.mitre.org/detectionstrategies/DET0893)*