# T1204.001 - Malicious Link ## Técnica Pai Esta é uma sub-técnica de [[t1204-user-execution|T1204 - T1204 - User Execution]]. ## Descrição A técnica T1204.001 - Malicious Link consiste em induzir um usuário a clicar em um link malicioso para que o adversário obtenha execução de código no sistema-alvo. O link pode ser entregue por diversos canais: e-mail de [[t1566-002-spearphishing-link|Spearphishing Link]], mensagem em aplicativo corporativo (Teams, Slack), SMS (smishing), ou até mesmo em comentários de documentos colaborativos. A diferença central em relação a outras técnicas de execução é que o vetor de ativação é **humano** - sem o clique do usuário, a cadeia não se completa. Ao clicar no link, a vítima pode ser redirecionada para uma página que explora uma vulnerabilidade do navegador via [[t1203-exploitation-for-client-execution|Exploitation for Client Execution]], ou que força o download de um arquivo malicioso que exige execução adicional ([[t1204-002-malicious-file|Malicious File]]). Em cenários mais sofisticados, o link redireciona para páginas de phishing de credenciais ou aciona scripts JavaScript que carregam stagers diretamente na memória, evitando a gravação de arquivos em disco e dificultando a detecção por soluções de antivírus tradicionais. **Contexto Brasil/LATAM:** O Brasil é um dos países com maior volume de ataques via links maliciosos no mundo. Campanhas regionais frequentemente exploram temas de alta relevância local - notificações de multas da Receita Federal, boletos bancários falsos, avisos do DETRAN - para aumentar a taxa de clique. Malwares bancários como [[s0531-grandoreiro|Grandoreiro]] e [[s0528-javali|Javali]] são distribuídos quase exclusivamente via links maliciosos enviados por e-mail, com infraestrutura de C2 muitas vezes hospedada em serviços de cloud brasileiros ou latino-americanos para evasão de geoblocking. O grupo [[g0082-apt38|APT38]], com histórico de ataques ao sistema financeiro brasileiro (incluindo o Banco do Brasil e o Banrisul via SWIFT), também recorre a esta técnica em suas campanhas de initial access. ## Attack Flow ```mermaid graph TB A([Entrega do Link<br/>E-mail / SMS / Chat]) -->|Engenharia Social| B([Clique do Usuário<br/>Vítima interage]) B --> C([Redirecionamento<br/>URL encurtada / legítima comprometida]) C --> D{Tipo de Payload} D -->|Browser exploit| E([Execução Direta<br/>T1203]) D -->|Download forçado| F([Arquivo Malicioso<br/>T1204.002]) style C fill:#e74c3c,color:#fff ``` ## Como Funciona ### Preparação O adversário registra ou compromete uma infraestrutura de entrega - domínios com certificados TLS válidos, serviços de encurtamento de URL (bit.ly, cutt.ly) ou repositórios legítimos (SharePoint, OneDrive, Google Drive) para hospedar o payload. O link é embutido em uma mensagem cuidadosamente construída para explorar urgência ou autoridade: notificação fiscal, cobrança bancária, convite para reunião. Em ataques dirigidos (spearphishing), o adversário pesquisa o alvo via LinkedIn e adapta o pretexto ao contexto profissional da vítima. ### Execução A vítima clica no link e o navegador inicia a requisição. O servidor do adversário pode servir conteúdo dinâmico: se o user-agent corresponder ao perfil esperado (Windows + Chrome, por exemplo), entrega o exploit ou força o download do arquivo malicioso; caso contrário, redireciona para uma página legítima, frustrando a análise em sandbox. O download de um arquivo malicioso (ex: `.iso`, `.lnk`, `.zip` contendo `.js` ou `.vbs`) transita para [[t1204-002-malicious-file|Malicious File]] para conclusão da execução. ### Pós-execução Uma vez que o payload é executado, o adversário estabelece persistência ([[t1547-001-registry-run-keys|Registry Run Keys]]) e inicia reconhecimento interno. Em cenários de malware bancário como [[s0650-qakbot|QakBot]] ou [[s0499-hancitor|Hancitor]], o próximo passo típico é o download de módulos adicionais e a varredura de credenciais armazenadas no navegador. Em ataques de ransomware, a execução do link é o início de uma cadeia que culmina em [[t1486-data-encrypted-for-impact|Data Encrypted for Impact]]. ## Detecção **Event IDs relevantes (Windows):** | Event ID | Canal | O que indica | |----------|-------|-------------| | 4688 | Security | Criação de processo filho a partir de navegador (chrome.exe → wscript.exe, powershell.exe) | | 3 | Sysmon | Conexão de rede originada por processo de navegador para domínio externo não categorizado | | 11 | Sysmon | Criação de arquivo em `%TEMP%` ou `%APPDATA%` por processo de navegador | | 1 | Sysmon | Execução de `wscript.exe`, `mshta.exe`, `cmstp.exe` sem processo pai esperado | | 7045 | System | Instalação de novo serviço após execução suspeita (indicador de persistência) | **Regra Sigma - Clique em Link Malicioso gerando processo filho:** ```yaml title: Navegador Gerando Processo de Script Suspeito id: 8f3a1c2d-4b5e-4f6a-a7b8-c9d0e1f2a3b4 status: experimental description: > Detecta navegadores web gerando processos de script ou interpretadores de linha de comando - padrão comum após clique em link malicioso (T1204.001). author: RunkIntel daté: 2026/03/24 logsource: category: process_creation product: windows detection: selection_parent: ParentImage|endswith: - '\chrome.exe' - '\msedge.exe' - '\firefox.exe' - '\iexplore.exe' - '\brave.exe' selection_child: Image|endswith: - '\wscript.exe' - '\cscript.exe' - '\mshta.exe' - '\powershell.exe' - '\cmd.exe' - '\cmstp.exe' - '\regsvr32.exe' condition: selection_parent and selection_child falsepositives: - Automações legítimas de TI que utilizam navegador como launcher - Extensões de navegador corporativas com comportamento similar level: high tags: - attack.execution - attack.t1204.001 ``` ## Mitigação | Controle | Mitigação MITRE | Recomendação para organizações brasileiras | |----------|----------------|-------------------------------------------| | Filtragem de URL | [[m1021-restrict-web-based-content\|M1021 - Restrict Web-Based Content]] | Implementar proxy com categorização de URL (Zscaler, Cisco Umbrella, Forcepoint). Bloquear encurtadores de URL em ambiente corporativo. Listas de bloqueio específicas para domínios `.tk`, `.ml`, `.ga` historicamente abusados em campanhas LATAM. | | Treinamento de usuários | [[m1017-user-training\|M1017 - User Training]] | Campanhas de conscientização com foco em temas brasileiros: boleto falso, SEFAZ, Receita Federal. Simulações de phishing mensais. Treinamento específico para colaboradores de áreas financeiras, que são alvos preferênciais de grupos como FIN7 e APT38. | | Prevenção de intrusão de rede | [[m1031-network-intrusion-prevention\|M1031 - Network Intrusion Prevention]] | IDS/IPS com assinaturas para domínios de C2 conhecidos (Grandoreiro, QakBot). Inspeção TLS em perímetro para análise de payload em links HTTPS. Integração com feeds de threat intel como abuse.ch URLhaus e OTX. | | Isolamento de navegador | Complementar | Implementar Browser Isolation (Menlo, Zscaler) para usuários de alto risco. Ambientes Citrix/VDI para acesso a links externos em setores financeiros e governamentais. | | EDR com análise comportamental | Complementar | Configurar EDR (CrowdStrike, Microsoft Defender for Endpoint, SentinelOne) com regras que bloqueiem processo filho de navegador gerando scripts. Priorizar telemetria Sysmon para correlação no SIEM. | ## Threat Actors - [[g0046-fin7|FIN7]] - Grupo financeiramente motivado com ampla história de campanhas de spearphishing via links maliciosos. Distribuiu o malware [[s0534-bazar|Bazar]] através de links para páginas falsas de visualização de documentos. - [[g0082-apt38|APT38]] - Subgrupo do Lazarus Group especializado em ataques ao setor financeiro. Utilizou links maliciosos como vetor de initial access em ataques ao sistema SWIFT de bancos brasileiros e latino-americanos. - [[g0094-kimsuky|Kimsuky]] - Grupo norte-coreano que utiliza links para documentos maliciosos hospedados em serviços legítimos (Google Docs, OneDrive) para evadir filtros de URL. - [[g0129-mustang-panda|Mustang Panda]] - APT chinês que distribui arquivos `.lnk` e `.iso` via links, frequentemente com temas geopolíticos relevantes para a região alvo. - [[g0098-blacktech|BlackTech]] - Grupo com foco em APAC que também opera na América Latina, usando links em e-mails de spearphishing para entrega de RATs customizados. - [[g0140-lazyscripter|LazyScripter]] - Grupo voltado a organizações de aviação, usa links para repositórios GitHub e Pastebin como droppers de primeiro estágio. - [[g0021-molerats|Molerats]] - Grupo do Oriente Médio que distribui [[s0198-netwire|NETWIRE]] via links para arquivos comprimidos hospedados em Dropbox e Google Drive. - [[g0142-confucius|Confucius]] - APT sul-asiático com padrão de uso de links para documentos maliciosos em campanhas de espionagem. ## Software Associado - [[s0531-grandoreiro|Grandoreiro]] - Trojan bancário brasileiro distribuído quase exclusivamente via links maliciosos em e-mails de phishing com temas fiscais. Um dos malwares mais ativos no Brasil e na América Latina. - [[s0528-javali|Javali]] - Banking trojan da família LATAM, entregue via links para instaladores MSI hospedados em infraestrutura legítima comprometida. - [[s0650-qakbot|QakBot]] - Loader multiplataforma distribuído via links em conversas de e-mail sequestradas (thread hijacking), técnica que aumenta drasticamente a taxa de clique. - [[s0499-hancitor|Hancitor]] - Malware downloader que utiliza links em documentos Word para baixar payloads de segunda fase (Cobalt Strike, Ficker Stealer). - [[s1160-latrodectus|Latrodectus]] - Loader moderno que substituiu parcialmente o IcedID, distribuído por campanhas de malspam com links para arquivos JavaScript. - [[s0534-bazar|Bazar]] - Loader do grupo FIN7/TrickBot, entregue via links para páginas falsas que pedem "atualização de visualizador de documento". - [[squirrelwaffle|Squirrelwaffle]] - Loader que abusou de thread hijacking de e-mail para entregar links com documentos maliciosos. - [[s0198-netwire|NETWIRE]] - RAT distribuído via links para arquivos comprimidos, especialmente em campanhas de espionagem corporativa na América Latina. --- *Fonte: [MITRE ATT&CK - T1204.001](https://attack.mitre.org/techniques/T1204/001)*