# T1115 - Clipboard Data ## Descrição A coleta de dados da área de transferência (clipboard) é uma técnica silenciosa e altamente eficaz utilizada por adversários para capturar informações sensíveis que os usuários copiam durante o trabalho cotidiano. Senhas, tokens de autenticação, números de cartão de crédito, chaves de API e trechos de código são exemplos comuns de dados que transitam pelo clipboard sem que o usuário perceba o risco. Por não exigir elevação de privilégio na maioria dos cenários, a técnica é amplamente empregada em estágios iniciais de intrusão. No Windows, ferramentas nativas como `clip.exe` e o cmdlet `Get-Clipboard` do [[t1059-001-powershell|PowerShell]] permitem a leitura direta do conteúdo da área de transferência. Em sistemas macOS e Linux, o utilitário `pbpaste` e chamadas à API do sistema cumprem o mesmo papel. Além da simples leitura, adversários mais sofisticados implementam monitores de clipboard que observam continuamente as alterações, registrando cada novo dado copiado, o que transforma um recurso rotineiro do sistema operacional em um canal de exfiltração persistente. No contexto brasileiro, essa técnica é particularmente relevante dado o alto volume de transações bancárias realizadas por sistemas como o PIX. Malwares como [[s0373-astaroth|Astaroth]] e [[s0331-agent-tesla|Agent Tesla]] - amplamente documentados em campanhas direcionadas ao setor financeiro e empresarial do Brasil e da América Latina - implementam módulos de clipboard hijacking capazes de substituir endereços PIX e dados bancários copiados pelos usuários por informações controladas pelos atacantes, resultando em fraudes financeiras diretas. **Contexto Brasil/LATAM:** O [[s0373-astaroth|Astaroth]], trojan desenvolvido por atores brasileiros e extensamente utilizado contra empresas nacionais, inclui módulo nativo de clipboard hijacking com foco específico em substituição de chaves PIX e dados de boletos bancários. Campanhas do [[g0049-oilrig|OilRig]] e grupos afiliados ao [[g0087-apt39|APT39]] monitorados em operações contra governos e setor de energia na América Latina também utilizam essa técnica para captura de credenciais corporativas copiadas em sessões de acesso remoto - cenário comum em ambientes de trabalho híbrido pós-pandemia. ## Attack Flow ```mermaid graph TB A([Acesso Inicial]) --> B([Execução de Payload]) B --> C([Monitoramento de Clipboard]):::highlight C --> D([Captura / Substituição de Dados]):::highlight D --> E([Exfiltração]) classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona ### 1. Preparação O adversário entrega um payload - geralmente via [[t1566-phishing|Phishing]] com documento malicioso ou loader - que instala um componente de monitoramento de clipboard no sistema da vítima. Malwares como [[s0332-remcos|Remcos]] e [[s0331-agent-tesla|Agent Tesla]] incluem essa capacidade como módulo nativo. O componente pode ser executado como thread do processo principal do malware ou injetado em um processo legítimo do sistema para dificultar a detecção. ### 2. Execução Com o monitor ativo, o malware registra um hook na API do sistema operacional (função `AddClipboardFormatListener` no Windows ou equivalentes no macOS/Linux) para receber notificações a cada mudança no clipboard. A cada evento, o conteúdo é lido, avaliado por padrões de interesse (expressões regulares para CPF, CNPJ, chaves PIX, senhas, tokens JWT, endereços de carteiras de criptomoedas) e armazenado em buffer local. Em variantes mais agressivas, como [[s0373-astaroth|Astaroth]], o dado detectado como sensível é imediatamente substituído pela versão adulterada controlada pelo atacante, executando [[t1565-002-transmitted-data-manipulation|Transmitted Data Manipulation]] em tempo real. ### 3. Pós-execução Os dados coletados são agrupados e exfiltrados periodicamente via canal de comando e controle (C2) ou, em casos de clipboard hijacking financeiro, o impacto ocorre diretamente na transação realizada pela vítima - sem necessidade de etapa adicional de exfiltração. Os logs do monitor são apagados do disco para dificultar análise forense posterior, frequentemente combinando essa técnica com [[t1070-001-clear-windows-event-logs|Clear Windows Event Logs]]. ## Detecção **Event IDs relevantes:** | Event ID | Fonte | Descrição | |----------|-------|-----------| | 4688 | Security | Criação de processo - monitorar `clip.exe`, `powershell.exe` com argumento `Get-Clipboard` | | 4103 / 4104 | PowerShell Operational | Execução de script com `Get-Clipboard` ou manipulação de clipboard via API | | Sysmon 1 | Sysmon | Process Creaté - identificar processos não usuais acessando APIs de clipboard | | Sysmon 10 | Sysmon | ProcessAccess - acesso cruzado de processos às APIs de clipboard do sistema | **Regra Sigma - Acesso Suspeito ao Clipboard via PowerShell:** ```yaml title: Suspicious Clipboard Access via PowerShell id: a3f2c1d4-8b5e-4f67-9a2b-1c3e5f7d9a0b status: experimental description: Detecta uso de Get-Clipboard em contextos suspeitos, possívelmente indicando coleta de dados sensíveis author: RunkIntel daté: 2026-03-24 logsource: product: windows category: ps_script definition: Script block logging must be enabled detection: selection: ScriptBlockText|contains: - 'Get-Clipboard' - 'clip.exe' - 'GetClipboardText' filter_legitimate: ScriptBlockText|contains: - 'Set-Clipboard' condition: selection and not filter_legitimate falsepositives: - Ferramentas de produtividade legítimas - Scripts de automação de TI autorizados level: medium tags: - attack.collection - attack.t1115 ``` ## Mitigação | Controle | Ação Recomendada | Prioridade | |----------|-----------------|------------| | Restrição de API de clipboard | Configurar políticas de grupo (GPO) para limitar acesso de processos não assinados à API de clipboard em estações críticas | Alta | | EDR com monitoramento de API | Habilitar detecção de clipboard hooks em soluções EDR - Microsoft Defender for Endpoint, CrowdStrike Falcon e SentinelOne possuem essa capacidade nativamente | Alta | | Gestores de senha corporativos | Adotar soluções como 1Password Teams ou Bitwarden Business que mantêm credenciais fora do clipboard do sistema operacional | Alta | | Conscientização de usuários | Treinar usuários para não copiar senhas, chaves PIX ou tokens de autenticação via CTRL+C em ambientes não seguros | Média | | Timeout de clipboard | Configurar limpeza automática do clipboard após 60 segundos em estações com acesso a sistemas financeiros | Média | | Monitoramento comportamental | Criar alertas para processos que acessam o clipboard com frequência anormal (> 10 vezes/minuto) | Média | ## Threat Actors que Usam - [[g0087-apt39|APT39]] - grupo iraniano de espionagem que utiliza clipboard monitoring para capturar credenciais de funcionários de empresas de telecomúnicações e governos, incluindo operações documentadas na América do Sul - [[g0082-apt38|APT38]] - célula financeira da Coreia do Norte especializada em fraudes bancárias; usa clipboard hijacking para interceptar dados de transferências SWIFT e credenciais de sistemas bancários - [[g0049-oilrig|OilRig]] - grupo iraniano de espionagem que integra coleta de clipboard em ferramentas de acesso remoto customizadas implantadas em redes governamentais e de energia da região ## Software Associado - [[s0331-agent-tesla|Agent Tesla]] - RAT amplamente distribuído em campanhas de phishing direcionadas ao Brasil; módulo de clipboard registra e exfiltra dados copiados em tempo real - [[s0373-astaroth|Astaroth]] - trojan brasileiro com módulo especializado de clipboard hijacking para PIX e boletos; referência regional de ameaça para o setor financeiro nacional - [[s0332-remcos|Remcos]] - ferramenta de acesso remoto comercial frequentemente abusada; inclui keylogging integrado de clipboard com exfiltração periódica ao C2 - [[darkcomet|DarkComet]] - RAT legado ainda ativo em campanhas oportunistas na LATAM; captura clipboard e transmite ao painel de controle do atacante - [[s0692-silenttrinity|SILENTTRINITY]] - framework de pós-exploração baseado em .NET/Python; módulo de clipboard disponível para operadores em ambientes comprometidos - [[s0363-empire|Empire]] - framework de pós-exploração open-source; módulo `clipboard` documentado para Windows, macOS e Linux - [[g0048-rtm|RTM]] - trojan bancário direcionado específicamente ao setor financeiro russo-LATAM; monitora clipboard para captura de dados de transações - [[s0438-attor|Attor]] - spyware avançado com plugin dedicado de clipboard para espionagem de longo prazo em alvos governamentais - [[s0004-tinyzbot|TinyZBot]] - bot leve com capacidade de clipboard monitoring utilizado em campanhas de espionagem industrial - [[s0257-vermin|VERMIN]] - malware associado ao conflito no Leste Europeu; captura clipboard para roubo de credenciais e comúnicações --- *Fonte: [MITRE ATT&CK - T1115](https://attack.mitre.org/techniques/T1115)*