# T1056 - Input Capture ## Descrição **Input Capture** é uma família de técnicas utilizada por adversários para interceptar entradas do usuário - teclado, mouse, campos de formulário e portais de autenticação - com o objetivo de capturar credenciais e informações sensíveis sem o conhecimento da vítima. No contexto brasileiro e latino-americano, essa técnica é amplamente explorada por grupos de [[ameaças-financeiras|crime financeiro]] voltados ao setor bancário. O Brasil é um dos países com maior incidência de malware bancário do mundo, e boa parte dessa atividade depende de variantes de [[t1056-001-keylogging|Keylogging]] e [[t1056-002-gui-input-capture|GUI Input Capture]] para capturar credenciais de internet banking, tokens de autenticação e PINs de cartão. Famílias como [[s0631-chaes|Chaes]] - desenvolvida específicamente contra clientes de bancos brasileiros - ilustram como adversários adaptam essa técnica ao ecossistema financeiro local. O mecanismo pode ser completamente transparente ao usuário (como o [[t1056-004-credential-api-hooking|Credential API Hooking]], que intercepta chamadas de sistema em segundo plano) ou pode envolver engano ativo, como sobreposição de jánelas falsas de login que imitam portais legítimos ([[t1056-003-web-portal-capture|Web Portal Capture]]). Em ambos os casos, o objetivo final é o mesmo: capturar credenciais antes que cheguem a qualquer mecanismo de proteção. > [!warning] Relevância para o Brasil > O Brasil concentra algumas das operações de malware bancário mais sofisticadas do mundo. Grupos como [[g0087-apt39|APT39]] e operadores de [[s0631-chaes|Chaes]] utilizam Input Capture como etapa central de campanhas de [[t1566-phishing|phishing]] direcionadas a correntistas e funcionários do setor financeiro. --- ## Attack Flow ```mermaid graph TB A([Acesso Inicial<br/>T1566 Phishing]) --> B([Execução<br/>Deploy de Loader]) B --> C([Persistência<br/>T1547 Run Keys]) C --> D([Escalação<br/>T1055 Process Injection]) D --> E([T1056<br/>INPUT CAPTURE], style E fill:#e74c3c,color:#fff) E --> F([T1056.001<br/>Keylogging]) E --> G([T1056.002<br/>GUI Input Capture]) E --> H([T1056.004<br/>Credential API Hooking]) E --> I([T1056.003<br/>Web Portal Capture]) F & G & H & I --> J([Exfiltração<br/>Credenciais / Tokens]) ``` --- ## Como Funciona ### Passo 1 - Implantação do Mecanismo de Captura O adversário implanta um componente malicioso - via [[t1059-command-and-scripting-interpreter|script]], DLL injetada ou driver de kernel - que registra um hook sobre as APIs de entrada do sistema operacional. No Windows, funções como `SetWindowsHookEx` (para [[t1056-001-keylogging|keylogging]]) ou `CredEnumerateA` (para [[t1056-004-credential-api-hooking|Credential API Hooking]]) são interceptadas. Em Linux e macOS, o adversário pode usar `/dev/input`, módulos de kernel ou ptrace para capturar eventos de teclado. ### Passo 2 - Captura Silenciosa de Entradas Com o hook ativo, cada tecla pressionada, campo preenchido ou jánela de autenticação exibida é registrada em memória ou em arquivo local. Em variantes mais avançadas como [[t1056-002-gui-input-capture|GUI Input Capture]], o malware monitora jánelas de processos específicos (ex.: navegadores, clientes bancários, VPNs corporativas) e captura apenas entradas nessas jánelas, reduzindo o volume de dados e o risco de detecção. ### Passo 3 - Exfiltração das Credenciais Os dados capturados são periodicamente enviados ao servidor C2 - muitas vezes compactados e cifrados via [[t1560-archive-collected-data|Archive Collected Data]] - ou armazenados localmente para exfiltração em lote. Grupos como [[g1044-apt42|APT42]] e [[g1046-storm-1811|Storm-1811]] utilizam essa etapa para obter credenciais de contas corporativas, que então são reutilizadas em movimentação lateral ([[t1550-use-alternate-authentication-material|T1550]]). --- ## Detecção ### Event IDs Relevantes (Windows) | Event ID | Fonte | Descrição | |----------|-------|-----------| | 4657 | Security | Modificação de chave de registro - monitorar hooks em `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs` | | 7045 | System | Novo serviço instalado - possível driver de captura de teclado | | 4688 + CLI | Security | Criação de processo com argumentos suspeitos relacionados a hooks | | Sysmon 10 | Sysmon | Process Access - DLL injetada acessando processo de autenticação | | Sysmon 13 | Sysmon | RegistryEvent - SetWindowsHookEx registrado via registro | ### Regra Sigma - Detecção de SetWindowsHookEx Suspeito ```yaml title: Suspicious SetWindowsHookEx via Sysmon ProcessAccess id: a3f1b2c4-d5e6-7890-abcd-ef1234567890 status: experimental description: > Detecta acesso a processos de autenticação por módulos não assinados, padrão comum de keyloggers e GUI Input Capture em ambientes Windows. author: RunkIntel daté: 2026/03/24 references: - https://attack.mitre.org/techniques/T1056 logsource: product: windows category: process_access detection: selection: EventID: 10 TargetImage|endswith: - '\lsass.exe' - '\winlogon.exe' - '\explorer.exe' GrantedAccess|contains: - '0x1010' - '0x1410' - '0x1fffff' CallTrace|contains: - 'UNKNOWN' filter_legit: SourceImage|contains: - '\MsMpEng.exe' - '\svchost.exe' condition: selection and not filter_legit falsepositives: - Software de acessibilidade legítimo - Ferramentas de automação de testes level: high tags: - attack.collection - attack.t1056 - attack.t1056.001 - attack.t1056.004 ``` --- ## Mitigação | Controle | Ação Recomendada | Prioridade para Org. Brasileiras | |---------|-----------------|----------------------------------| | Proteção de credenciais | Habilitar Windows Credential Guard em endpoints corporativos | Alta - previne Credential API Hooking | | MFA robusto | Implementar autenticação multifator com token físico (FIDO2) para acesso a sistemas críticos | Alta - inválida credenciais capturadas | | EDR com análise comportamental | Configurar regras de detecção de hooking de API e injeção de DLL | Alta - detecta em tempo real | | Controle de drivers | Habilitar Driver Signature Enforcement e WDAC (Windows Defender Application Control) | Média - bloqueia keyloggers em modo kernel | | Segmentação de rede | Bloquear comunicação de saída não autorizada de estações de trabalho | Alta - dificulta exfiltração de credenciais capturadas | | Monitoramento de registro | Alertar para modificações em `AppInit_DLLs`, `IFEO` e chaves de hooks do Windows | Média - detecta persistência de keyloggers | | Treinamento e conscientização | Treinar usuários para identificar sobreposições de jánela falsas (overlay attacks) | Alta para bancos e fintechs brasileiras | --- ## Threat Actors que Usam ### [[g1044-apt42|APT42]] - Irã, Espionagem Grupo iraniano vinculado ao IRGC que utiliza [[t1056-001-keylogging|keyloggers]] customizados em campanhas de espionagem contra jornalistas, ativistas e diplomatas. Embora com foco principal no Oriente Médio, registrou operações contra alvos no Brasil relacionados a negociações diplomáticas. ### [[g1046-storm-1811|Storm-1811]] - Operações de BEC e Ransomware Grupo de crime financeiro que combina [[t1566-phishing|vishing]] e Input Capture para roubar credenciais de Microsoft 365 e sistemas corporativos. Utiliza o malware [[flawedammyy|FlawedAmmyy]] para captura de tela e teclado em empresas do setor financeiro e de serviços. ### [[g0087-apt39|APT39]] - Irã, Telecomúnicações e Transporte APT iraniano com histórico de uso de keyloggers em campanhas de espionagem contra empresas de telecomúnicações. Usa [[s1059-metamain|metaMain]] e [[s1060-mafalda|Mafalda]] - implantes sofisticados com capacidade de Input Capture - em operações de longa duração. --- ## Software Associado | Software | Tipo | Capacidade de Input Capture | |---------|------|-----------------------------| | [[s1245-invisibleferret\|InvisibleFerret]] | Malware | Keylogging + captura de credenciais de navegador | | [[s1059-metamain\|metaMain]] | Malware | Keylogging avançado + screenshot em loop | | [[s1060-mafalda\|Mafalda]] | Malware | Captura de clipboard e teclado | | [[s0631-chaes\|Chaes]] | Malware Bancário | GUI Input Capture especializado em bancos brasileiros | | [[flawedammyy\|FlawedAmmyy]] | RAT | Keylogging + acesso remoto para captura manual | | [[s0641-kobalos\|Kobalos]] | Malware | Captura de credenciais SSH em servidores Linux/HPC | | [[s1131-nppspy\|NPPSPY]] | Ferramenta | Abusa de NPP (Network Provider) para capturar credenciais de login Windows | --- ## Sub-técnicas - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1056-002-gui-input-capture|T1056.002 - GUI Input Capture]] - [[t1056-003-web-portal-capture|T1056.003 - Web Portal Capture]] - [[t1056-004-credential-api-hooking|T1056.004 - Credential API Hooking]]