t1204-004-malicious-copy-and-paste

# T1204.004 - Cópia e Colagem Maliciosa ## Técnica Pai Esta é uma sub-técnica de [[t1204-user-execution|T1204 - T1204 - User Execution]]. ## Descrição Atacantes que utilizam essa técnica não precisam explorar nenhuma vulnerabilidade técnica - eles exploram o próprio usuário. A estratégia consiste em convencer a vítima a copiar um comando de um site ou e-mail e colá-lo diretamente no terminal, no Executar do Windows ou em outro interpretador de comandos. O código, aparentemente inofensivo ou apresentado como solução a um problema, executa uma cadeia maliciosa sem que nenhum arquivo sejá baixado ou anexo aberto. A variação mais documentada dessa tática é conhecida como **ClickFix**. Nela, o adversário cria páginas web falsas que simulam erros de sistema, falhas de CAPTCHA ou mensagens de suporte técnico. A "solução" oferecida ao usuário é um comando que deve ser colado no terminal - geralmente ofuscado com Base64 ou codificação de URL para disfarçar a intenção maliciosa. Uma vez executado, o comando estabelece acesso inicial à máquina da vítima, frequentemente baixando um payload de estágio posterior. E-mails de [[t1566-phishing|phishing]] também são usados com essa abordagem. Quando a vítima tenta abrir um anexo e se depara com um erro falso, o e-mail oferece um "procedimento de correção" que, na prática, é um comando malicioso. Dessa forma, o adversário contorna filtros de e-mail, sandboxes de navegador e soluções de endpoint que bloqueiam execução de arquivos baixados, pois a execução parte de uma ação intencional do próprio usuário. **Contexto Brasil/LATAM:** No Brasil, campanhas de engenharia social com temática de CAPTCHA falso e páginas de suporte técnico fraudulento têm sido vetores recorrentes de entrega de malware bancário e trojans de acesso remoto. Organizações dos setores [[_sectors|financeiro]] e de [[_sectors|varejo]] são alvos frequentes, aproveitando a baixa maturidade de segurança de usuários finais e o alto volume de acesso a portais de autoatendimento. O grupo [[g1052-contagious-interview|Contagious Interview]], associado à Coreia do Norte, também utiliza essa técnica em campanhas de recrutamento falso, com forte presença em plataformas usadas por profissionais de tecnologia na região. ## Attack Flow ```mermaid graph TB A[T1566 Phishing / Site Malicioso] --> B[T1204.004 Cópia e Colagem] B --> C[T1059 Execução de Comando] C --> D[T1105 Download de Payload] D --> E[Acesso Inicial Estabelecido] ``` ## Como Funciona **1. Preparação** O adversário monta uma página web ou e-mail com conteúdo de engenharia social: mensagem de erro falsa, CAPTCHA insolúvel, ou instruções de "suporte técnico". O comando malicioso é preparado, frequentemente codificado em Base64 ou com caracteres Únicode para evitar detecção por leitura humana. **2. Execução** A vítima é instruída a abrir o terminal (PowerShell, cmd, bash) ou a caixa "Executar" do Windows (`Win+R`) e colar o comando. O usuário executa voluntariamente o payload, o que ignora mecanismos de proteção baseados em origem de arquivo (Mark-of-the-Web, SmartScreen). **3. Pós-execução** O comando inicial geralmente baixa um stager ou executa um payload em memória. O adversário obtém acesso persistente, tipicamente via [[t1059-001-powershell|PowerShell]], [[t1059-003-windows-command-shell|Windows Command Shell]] ou [[t1059-004-unix-shell|Unix Shell]], dependendo da plataforma. **Exemplo de artefato de detecção:** ```bash # Artefato típico: execução de PowerShell via processo Run Dialog (explorer.exe → powershell.exe) # Indicadores no Windows Event Log: # Event ID 4688 - Process Creation # ParentProcessName: C:\Windows\explorer.exe # NewProcessName: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe # CommandLine: powershell -EncodedCommand <base64_string> ``` ## Detecção **Fontes de dados:** Windows Event Log (Event ID 4688 - criação de processo), Sysmon Event ID 1, logs de auditoria de terminal (bash_history, PowerShell ScriptBlock Logging), EDR behavioral alerts. ```yaml title: Detecção de Execução via Copy-Paste Malicioso (ClickFix) id: b3f8a1c2-4d7e-4f9b-a2c3-1e5d6f789012 status: experimental description: > Detecta padrão de execução de PowerShell ou cmd iniciado diretamente pelo explorer.exe com argumento codificado em Base64, característico de ataques ClickFix via Executar do Windows. logsource: category: process_creation product: windows detection: selection: ParentImage|endswith: '\explorer.exe' Image|endswith: - '\powershell.exe' - '\cmd.exe' CommandLine|contains: - '-EncodedCommand' - '-enc ' - 'FromBase64String' condition: selection falsepositives: - Scripts legítimos de TI executados pelo usuário via Executar - Atalhos de administração que abrem shells codificados level: high tags: - attack.execution - attack.t1204.004 - attack.t1059.001 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | [[m1021-restrict-web-based-content\|M1021 - Restrict Web-Based Content]] | Bloquear acesso a domínios recém-registrados e sites com baixa reputação via proxy. Implementar categorização de URL que impeça acesso a páginas de "suporte técnico" não autorizadas. | | [[m1038-execution-prevention\|M1038 - Execution Prevention]] | Usar AppLocker ou Windows Defender Application Control (WDAC) para restringir execução de processos filhos iniciados pelo explorer.exe com argumentos codificados. | | [[m1031-network-intrusion-prevention\|M1031 - Network Intrusion Prevention]] | Implementar inspeção SSL/TLS no proxy para detectar download de stagers após execução inicial. Bloquear conexões a IPs e domínios de C2 conhecidos. | ## Threat Actors que Usam - [[g1052-contagious-interview|Contagious Interview]] ## Software Associado - [[s1229-havoc|Havoc]] (framework C2) --- *Fonte: [MITRE ATT&CK - T1204.004](https://attack.mitre.org/techniques/T1204/004)*