# T1566.002 - Spearphishing Link ## Técnica Pai Esta é uma sub-técnica de [[t1566-phishing|T1566 - T1566 - Phishing]]. ## Descrição O spearphishing com link é uma das formas mais sofisticadas de engenharia social direcionada, onde o adversário envia e-mails personalizados contendo URLs maliciosas em vez de anexos - exatamente para contornar filtros de e-mail que inspecionam arquivos. A mensagem é cuidadosamente construída para parecer legítima: pode simular uma notificação bancária, um documento compartilhado no OneDrive ou uma convocação de reunião urgente. Ao clicar no link, a vítima é redirecionada para um site que pode explorar o navegador diretamente ou induzir o download de um payload como [[s0561-guloader|GuLoader]] ou [[s0367-emotet|Emotet]]. A técnica evolui constantemente para driblar mecanismos de proteção. Adversários utilizam ataques de homógrafo IDN (domínios que substituem letras latinas por caracteres Únicode visualmente idênticos), ofuscação de URL com redirecionadores legítimos como bit.ly ou serviços corporativos comprometidos, e links que expiram após o primeiro clique para evitar análise posterior por sandboxes. Uma variante moderna abusa do fluxo de autorização de dispositivos OAuth 2.0 - conhecida como "device code phishing" - onde a vítima é levada a inserir um código de autenticação que concede ao adversário acesso completo à conta sem precisar de senha. Essa modalidade foi observada em ataques recentes a ambientes Microsoft 365 no Brasil. **Contexto Brasil/LATAM:** O Brasil é um dos países mais atacados por phishing no mundo, e o spearphishing com link é o vetor preferêncial de grupos como [[g0095-machete|Machete]] - APT de língua espanhola com campanhas documentadas contra militares e governo de países latino-americanos, incluindo o Brasil. O [[g0046-fin7|FIN7]] utilizou links maliciosos disfarçados de portais de fornecedores para comprometer cadeias de suprimentos no varejo brasileiro. O [[s0528-javali|Javali]], trojan bancário brasileiro, é distribuído exclusivamente via e-mails com links para instaladores falsos de aplicativos financeiros, especialmente voltados a clientes de grandes bancos nacionais. Campanhas de phishing que simulam comúnicações do Banco Central, Receita Federal e ANATEL são recorrentes e de alta eficácia no país. ## Attack Flow ```mermaid graph TB A[Reconhecimento<br/>da Vítima] --> B[Criação do<br/>E-mail Personalizado] B --> C["T1566.002<br/>Spearphishing Link<br/>(URL maliciosa)"]:::highlight C --> D[Execução pelo<br/>Usuário - T1204] D --> E[Payload Entregue<br/>ou Credencial Roubada] classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona **1. Preparação** O adversário realiza reconhecimento para personalizar o ataque: coleta o nome, cargo, empresa, contatos frequentes e contexto profissional da vítima via LinkedIn, redes sociais e dados vazados. Com essas informações, cria um e-mail altamente convincente - frequentemente se passando por um colega de trabalho, parceiro de negócios ou serviço utilizado pela organização. O link malicioso é hospedado em infraestrutura controlada pelo adversário ou em serviço legítimo comprometido, e pode ser protegido por mecanismos anti-análise (verificação de geolocalização, user-agent ou horário de acesso). **2. Execução** A vítima recebe o e-mail e clica no link, que aciona [[t1204-user-execution|User Execution]]. O site de destino pode: (a) explorar uma vulnerabilidade do navegador para execução de código; (b) exibir uma página de phishing de credenciais; (c) forçar o download de um arquivo malicioso como documento Office com macro, ZIP com executável ou instalador MSI; ou (d) iniciar um fluxo OAuth/device code phishing para roubar tokens de acesso via [[t1528-steal-application-access-token|Steal Application Access Token]]. Loaders como [[s0561-guloader|GuLoader]] e [[darkgaté|DarkGaté]] são frequentemente entregues nesta etapa. **3. Pós-execução** Após o comprometimento inicial, o adversário estabelece persistência e começa movimento lateral. Tokens OAuth roubados permitem acesso direto a e-mail, SharePoint e Teams sem disparar alertas de MFA. Credenciais capturadas em páginas de phishing são usadas para acesso VPN ou portais de administração. Payloads como [[s0367-emotet|Emotet]] e [[squirrelwaffle|Squirrelwaffle]] atuam como droppers para ransomware ou RATs adicionais, iniciando uma cadeia de comprometimento que pode perdurar por meses. ## Detecção **Sinais de detecção em múltiplas camadas:** | Fonte | Sinal | Event ID / Log | |-------|-------|----------------| | E-mail Gateway | Links em e-mails recém-registrados (< 30 dias) | Mail flow logs | | Proxy / DNS | Consultas a domínios com homógrafo IDN ou TLDs incomuns | DNS query logs | | Endpoint (EDR) | Processo de e-mail (Outlook, Thunderbird) gerando filho suspeito | Sysmon Event ID 1 | | Proxy | Download de arquivo executável ou ZIP via link em e-mail | Proxy access logs | | Azure AD / Entra | Concessão de permissão OAuth para aplicação desconhecida | Sign-in logs | | Windows | Execução de MSHTA, WSCRIPT ou CSCRIPT originada de download de browser | Event ID 4688 | **Sigma Rule:** ```yaml title: Spearphishing Link - Processo Filho Suspeito de Cliente de E-mail id: b9d4e7f2-3a1c-4b8e-9f6d-2c5a8b1e4d7f status: experimental description: > Detecta cliente de e-mail iniciando processo de interpretador de script ou download de conteúdo, indicando possível clique em link malicioso de e-mail de spearphishing. logsource: product: windows category: process_creation detection: selection: ParentImage|endswith: - '\OUTLOOK.EXE' - '\thunderbird.exe' - '\Teams.exe' Image|endswith: - '\mshta.exe' - '\wscript.exe' - '\cscript.exe' - '\powershell.exe' - '\cmd.exe' - '\certutil.exe' - '\bitsadmin.exe' condition: selection falsepositives: - Automações legítimas de e-mail corporativo - Scripts de assinatura de e-mail level: high tags: - attack.initial_access - attack.t1566.002 - attack.execution - attack.t1204 ``` ## Mitigação | Controle | Implementação | Relevância para Organizações Brasileiras | |----------|--------------|------------------------------------------| | [[m1017-user-training\|M1017 - User Training]] | Treinamentos regulares de conscientização com simulações de phishing; ênfase em links de fornecedores e notificações bancárias falsas | Alta prioridade; simulações devem incluir cenários de Receita Federal e bancos nacionais | | [[m1021-restrict-web-based-content\|M1021 - Restrict Web-Based Content]] | Web proxy com categorização de URLs; bloquear domínios registrados há menos de 30 dias | Efetivo contra infraestrutura de phishing recém-criada | | [[m1054-software-configuration\|M1054 - Software Configuration]] | Configurar clientes de e-mail para exibir URL completa antes do clique; desabilitar preview automático de links | Configuração nativa disponível no Outlook e Google Workspace | | [[m1018-user-account-management\|M1018 - User Account Management]] | Revisão periódica de aplicações OAuth autorizadas por usuários; revogar tokens de apps desconhecidos | Crítico para ambientes Microsoft 365 e Google Workspace | | [[m1047-audit\|M1047 - Audit]] | Auditar logs de concessão de permissões OAuth; alertar para aplicações com escopos de e-mail e arquivos | SIEM com regra de detecção de novos grants OAuth | | MFA Resistente a Phishing | Adotar FIDO2/passkeys em vez de OTP via SMS ou app - imune a device code phishing | Bancos e governo brasileiro devem priorizar adoção de chaves de segurança | | Sandbox de E-mail | Detonar URLs em sandbox antes da entrega; reescrever links para passar por proxy de análise | Disponível em Microsoft Defender for Office 365 e Proofpoint | ## Threat Actors - [[g0095-machete|Machete]] - APT de língua espanhola com campanhas documentadas contra forças armadas e governo brasileiro; usa spearphishing com links para sites de exfiltração disfarçados de portais governamentais - [[g0046-fin7|FIN7]] - grupo criminoso com campanhas em varejistas e restaurantes brasileiros; envia links para "cardápios digitais" ou "promoções de fornecedores" que entregam backdoors - [[g0094-kimsuky|Kimsuky]] - APT norte-coreano que usa spearphishing com links para artigos acadêmicos falsos, mirando think tanks e pesquisadores de política - [[g0069-mango-sandstorm|MuddyWater]] - grupo iraniano que combina links com documentos infectados para atacar governo e telecomúnicações - [[g0098-blacktech|BlackTech]] - APT chinês com histórico de campanha via links de atualização de software corporativo falso - [[g1014-luminousmoth|LuminousMoth]] - campanha de espionagem com links de phishing que entregam Cobalt Strike disfarçado de arquivo de instalação do Zoom - [[g0121-sidewinder|Sidewinder]] - APT sul-asiático com campanhas frequentes via links para documentos governamentais falsos - [[g0066-elderwood|Elderwood]] - plataforma de ataque em cadeia de suprimentos; distribui exploits de browser zero-day via links em e-mails direcionados a fabricantes de defesa - [[g0142-confucius|Confucius]] - usa links para sites de phishing de credenciais direcionados a militares e governo - [[g0103-mofang|Mofang]] - grupo chinês que envia links para downloads de software industrial falso mirando manufatura ## Software Associado - [[s0528-javali|Javali]] - trojan bancário brasileiro distribuído exclusivamente via links em e-mails que simulam notificações de bancos nacionais (Itaú, Bradesco, Santander) - [[s0561-guloader|GuLoader]] - downloader de malware frequentemente entregue como ZIP baixado de link em e-mail de spearphishing - [[s0367-emotet|Emotet]] - botnet que se propaga via links em e-mails de reply-chain sequestrados; ativo no Brasil com campanhas em português - [[darkgaté|DarkGaté]] - loader multifuncional entregue via links em e-mails de phishing com tema de SharePoint e OneDrive - [[squirrelwaffle|Squirrelwaffle]] - loader que abusa de threads de e-mail legítimas para inserir links maliciosos; drop de Qakbot e Cobalt Strike - [[g1049-applejeus|AppleJeus]] - malware do Lazarus Group entregue via links para sites falsos de exchange de criptomoedas - [[s0585-kerrdown|Kerrdown]] - downloader usado pelo APT32 entregue via link para documento em servidor comprometido - [[outsteel|OutSteel]] - stealer ucraniano distribuído via links em e-mails com tema de políticas governamentais - [[koctopus|KOCTOPUS]] - malware entregue via links em campanhas de spearphishing contra governos africanos - [[qilin|Qilin]] - ransomware-as-a-service cujos afiliados usam spearphishing com link como vetor primário de acesso --- *Fonte: [MITRE ATT&CK - T1566.002](https://attack.mitre.org/techniques/T1566/002)*