# T1125 - Video Capture ## Descrição Video Capture é uma técnica de coleta em que adversários exploram câmeras periféricas integradas - webcams, câmeras USB, ou aplicações de videoconferência - para gravar vídeo ou capturar imagens do ambiente físico do alvo sem seu conhecimento. O objetivo é coletar informações comportamentais e ambientais que complementam outros métodos de espionagem, como capturas de tela e keylogging. O material capturado pode ser armazenado localmente em disco e depois exfiltrado, ou transmitido em tempo real para a infraestrutura de comando e controle do atacante. Malware moderno interage com as câmeras por meio de APIs nativas do sistema operacional - como `DirectShow` e `Windows Media Foundation` no Windows, ou frameworks AVFoundation no macOS - sem necessáriamente acionar indicadores visuais como o LED da webcam. Scripts e implantes podem operar de forma intermitente, capturando imagens em intervalos programados, para reduzir o volume de dados gerado e dificultar a detecção por análise de tráfego. Essa técnica se diferencia de [[t1113-screen-capture|Screen Capture]] porque envolve dispositivos físicos de captura de vídeo, e não a interface gráfica do sistema. **Contexto Brasil/LATAM:** No Brasil e em outros países da América Latina, a técnica tem sido observada em operações de espionagem corporativa e campanhas de RATs como [[g0095-machete|Machete]] - um grupo com foco histórico em alvos sul-americanos, incluindo entidades governamentais e militares. A proliferação de trabalho remoto pós-pandemia amplificou drasticamente a superfície de ataque: laptops pessoais com webcams integradas conectados a redes corporativas tornaram-se vetores de coleta visual de alto valor para grupos como [[g0046-fin7|FIN7]] e [[g0091-silence|Silence]], ambos com histórico de ataques a instituições financeiras na região. ## Attack Flow ```mermaid graph TB A["Acesso Inicial<br/>(Phishing / RAT)"] --> B["Implante Instalado<br/>(Persistence)"] B --> C["Enumeração de Periféricos<br/>(API do SO)"] C --> D["Captura de Vídeo/Imagem<br/>T1125 Video Capture"]:::highlight D --> E["Exfiltração<br/>(C2 / T1041)"] classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona **Preparação:** O adversário implanta um RAT ou módulo de coleta no sistema da vítima - geralmente via phishing com anexo malicioso ou drive-by download. O implante verifica os periféricos disponíveis usando APIs do sistema operacional (DirectShow no Windows, AVFoundation no macOS) para identificar câmeras acessíveis. Alguns malwares como [[s0336-nanocore|NanoCore]] e [[darkcomet|DarkComet]] já incluem módulos dedicados de webcam prontos para uso. **Execução:** Com câmeras enumeradas, o implante inicia a captura em modo silencioso - sem jánelas visíveis, sem ativação do LED (em alguns modelos) ou com técnicas que desativam o indicador luminoso via driver. A gravação pode ser contínua, por gatilho (detecção de movimento ou presença no microfone) ou em intervalos fixos para gerar imagens estáticas. Os arquivos resultantes - `.avi`, `.mp4` ou sequências `.jpg` - são gravados em diretórios temporários ou camuflados como arquivos de sistema. **Pós-execução:** Os arquivos de vídeo ou imagem são empacotados e exfiltrados para o servidor de C2, muitas vezes cifrados ou embutidos em tráfego HTTPS para evadir inspeção de rede. Após exfiltração bem-sucedida, os arquivos locais são apagados para remover evidências. Em campanhas de longa duração, como as associadas ao [[g0095-machete|Machete]], a captura opera de forma persistente ao longo de semanas ou meses. ## Detecção Detecção eficaz exige monitoramento de chamadas de API a dispositivos de captura e de processos não esperados interagindo com hardware de câmera. **Event IDs relevantes (Windows):** | Event ID | Fonte | Descrição | |----------|-------|-----------| | 4688 | Security | Criação de processo - verificar processos filhos de `mshta.exe`, `wscript.exe` acessando APIs de câmera | | 7045 | System | Instalação de serviço suspeito relacionado a driver de câmera | | 4663 | Security | Acesso a objetos - monitorar acessos a `kscaptur.sys` ou classes de dispositivo de captura | | Microsoft-Windows-DriverFrameworks-UserMode/Operational (2004) | Sysmon | Conexão de dispositivo USB - câmera ativada inesperadamente | **Sigma Rule:** ```yaml title: Suspicious Process Accessing Video Capture Device id: a3f7b291-4c82-4e1d-9f3a-7b5c2d8e1f04 status: experimental description: Detecta processos não-esperados invocando APIs de captura de vídeo ou webcam no Windows author: RunkIntel daté: 2026-03-24 logsource: category: process_access product: windows detection: selection: TargetObject|contains: - 'CLSID\{860BB310-5D01-11d0-BD3B-00A0C911CE86}' - 'kscaptur' - 'vidcap' - 'DirectShow' filter_legit: SourceImage|contains: - 'Teams.exe' - 'zoom.exe' - 'obs64.exe' - 'Skype.exe' - 'WebcamMicrophoneApp.exe' condition: selection and not filter_legit falsepositives: - Aplicações legítimas de videoconferência não listadas no filtro level: high tags: - attack.collection - attack.t1125 ``` ## Mitigação | Controle | Medida | Orientação para organizações brasileiras | |----------|--------|------------------------------------------| | Cobertura física | Tampa de webcam | Distribuir capas de câmera para todo equipamento corporativo - custo baixo, eficácia imediata | | EDR / Controle de aplicações | Bloquear acesso de processos não autorizados à câmera | Configurar políticas no Windows Defender Application Control (WDAC) para whitelist de apps com acesso a câmera | | Monitoramento de endpoint | Alertar em acesso a APIs de captura por processos anômalos | Integrar regras de detecção com SIEM - prioridade para processos filhos de Office e navegadores | | Política de uso de dispositivos | Proibir câmeras em ambientes classificados | Aplicar em ambientes de alta sensibilidade como salas de reunião executiva e NOC | | Atualização de drivers | Manter firmware de câmeras atualizado | Drivers desatualizados podem ser explorados para desativar o LED de atividade | | Segmentação de rede | Limitar tráfego de saída de endpoints | Bloquear exfiltração de arquivos grandes via regras de DLP e inspeção SSL | ## Threat Actors - [[g1003-ember-bear|Ember Bear]] - grupo atribuído à Rússia, utiliza captura de vídeo em campanhas de espionagem contra alvos governamentais e de defesa no Leste Europeu e aliados ocidentais. - [[g0091-silence|Silence]] - grupo financeiramente motivado com histórico de ataques a bancos na Rússia e Europa Oriental; usa RATs com capacidade de captura de webcam para reconhecimento de ambientes de operação bancária. - [[g0046-fin7|FIN7]] - grupo criminoso prolífico com múltiplas campanhas contra o setor financeiro e hoteleiro; implantes incluem módulos de captura de imagem para válidar alvos de alto valor antes de avançar na cadeia de ataque. ## Software Associado - [[s0363-empire|Empire]] - framework de pós-exploração com módulo nativo de captura de webcam amplamente usado em red teams e campanhas APT. - [[s0660-clambling|Clambling]] - backdoor chinês com capacidade de captura de tela e vídeo, associado a campanhas de espionagem em países asiáticos. - [[crimson|Crimson]] - RAT usado pelo grupo Transparent Tribe com módulo de captura de câmera, direcionado a alvos sul-asiáticos e governamentais. - [[s0467-tajmahal|TajMahal]] - framework de espionagem sofisticado descoberto pela Kaspersky com capacidade de captura de webcam e exfiltração seletiva. - [[s0338-cobian-rat|Cobian RAT]] - RAT de baixo custo com capacidade de captura de webcam, distribuído como crimeware em fóruns clandestinos - relevante para ameaças oportunistas no Brasil. - [[s0336-nanocore|NanoCore]] - RAT com módulo de webcam integrado, amplamente abusado por grupos de ameaça financeira e de espionagem de baixa sofisticação na América Latina. - [[s0283-jrat|jRAT]] - RAT baseado em Java com recursos de captura de câmera, historicamente usado em campanhas contra alvos brasileiros e latino-americanos. - [[g0095-machete|Machete]] - grupo e malware com foco específico em espionagem contra governos e forças armadas sul-americanas; inclui captura periódica de câmera e tela. - [[s0379-revenge-rat|Revenge RAT]] - RAT de uso amplo com módulo de webcam; detectado em campanhas de phishing direcionadas a empresas brasileiras. - [[darkcomet|DarkComet]] - RAT histórico com capacidade completa de controle de webcam; ainda em circulação em campanhas oportunistas na região LATAM. --- *Fonte: [MITRE ATT&CK - T1125](https://attack.mitre.org/techniques/T1125)*