t1566-003-spearphishing-via-service

# T1566.003 - Spearphishing via Service ## Técnica Pai Esta é uma sub-técnica de [[t1566-phishing|T1566 - T1566 - Phishing]]. ## Descrição **Spearphishing via Service** é uma subtécnica de [[t1566-phishing|T1566 - Phishing]] na qual adversários utilizam serviços de terceiros - redes sociais, webmail pessoal, aplicativos de mensagens e plataformas de recrutamento - para conduzir ataques de engenharia social direcionados. Ao contrário do spearphishing tradicional por e-mail corporativo, essa modalidade explora canais que geralmente têm políticas de segurança menos rigorosas e não são monitorados pelas equipes de SOC da organização alvo. O adversário cria personas falsas convincentes e estabelece contato gradual com a vítima, construindo confiança antes de entregar o payload malicioso. O modus operandi mais documentado envolve a criação de perfis falsos no LinkedIn representando recrutadores ou gestores de empresas legítimas de tecnologia. O adversário inicia uma conversa de interesse profissional genuíno, solicita o envio de portfólios ou realização de desafios técnicos, e eventualmente compartilha arquivos maliciosos - frequentemente via WhatsApp, Telegram, Discord ou serviços de armazenamento em nuvem como Google Drive e WeTransfer. Como a vítima aguarda ativamente o arquivo, a probabilidade de abertura é muito maior do que em phishing genérico. Uma vez executado o payload, o adversário estabelece acesso inicial ao sistema corporativo da vítima via [[t1059-command-and-scripting-interpreter|Command and Scripting Interpreter]] ou implante de acesso remoto. **Contexto Brasil/LATAM:** O Brasil é um dos países mais ativos no LinkedIn e WhatsApp no mundo, tornando essa técnica especialmente eficaz no contexto regional. Grupos como o [[g1052-contagious-interview|Contagious Interview]] - vinculado à Coreia do Norte - têm como alvo preferêncial desenvolvedores de software em busca de oportunidades, perfil abundante nos polos tecnológicos de São Paulo, Campinas, Florianópolis e Recife. O setor [[_sectors|financeiro]] e empresas de [[_sectors|tecnologia]] com acesso a ativos cripto são alvos prioritários. A linguagem informal típica do português brasileiro em plataformas sociais facilita a criação de personas convincentes por grupos adversários com capacidade de processamento de linguagem natural. Ataques via WhatsApp Business com perfis de empresas clonadas também são crescentes na região. **Event IDs relevantes (Windows):** | Event ID | Fonte | Descrição | |----------|-------|-----------| | `4688` | Security | Criação de processo - detectar processos filhos de navegadores ou clientes de chat | | `1` | Sysmon | Criação de processo com linha de comando suspeita (powershell, cmd, wscript) | | `11` | Sysmon | Arquivo criado em pasta de downloads ou temp após interação com serviço web | | `3` | Sysmon | Conexão de rede iniciada por processo recém-criado a IP externo desconhecido | | `4698` | Security | Nova tarefa agendada criada - possível persistência pós-payload | **Regra Sigma:** ```yaml title: Suspicious Process Spawned from Browser or Messaging Client id: d4f7a1e3-8b2c-4e9d-a5f1-c3b7e2d6f8a4 status: experimental description: Detecta processo suspeito (powershell, cmd, wscript) gerado por cliente de navegador ou mensageiro - padrão de payload entregue via serviço de terceiro references: - https://attack.mitre.org/techniques/T1566/003 logsource: product: windows service: sysmon detection: selection: EventID: 1 ParentImage|contains: - 'chrome.exe' - 'msedge.exe' - 'firefox.exe' - 'WhatsApp.exe' - 'Telegram.exe' - 'Discord.exe' - 'slack.exe' Image|contains: - 'powershell.exe' - 'cmd.exe' - 'wscript.exe' - 'mshta.exe' - 'rundll32.exe' filter: CommandLine|contains: - 'updaté' - '-help' condition: selection and not filter falsepositives: - Scripts legítimos de atualização de aplicativos - Automações corporativas aprovadas level: high tags: - attack.initial_access - attack.t1566.003 - attack.execution ``` ## Attack Flow ```mermaid graph TB A[Criação de Persona Falsa] --> B[Contato e Construção de Confiança] B --> C:::highlight[Entrega de Payload via Serviço de Terceiro] C --> D[Execução e Acesso Inicial] D --> E[Estabelecimento de C2] classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona ### 1. Preparação O adversário realiza reconhecimento via OSINT em plataformas como LinkedIn, GitHub e Twitter para identificar funcionários-alvo com acesso a sistemas críticos - desenvolvedores, administradores de sistema, analistas de segurança e profissionais de finanças. Em seguida, cria personas falsas elaboradas: perfis com foto gerada por IA, histórico profissional convincente, conexões fabricadas e, em alguns casos, domínios de e-mail que imitam empresas reais. O payload é preparado de acordo com o perfil da vítima - um desafio de código malicioso (npm/PyPI), um documento de oferta salarial com macro, ou um instalador trojanizado de ferramenta de desenvolvimento. ### 2. Execução O adversário inicia contato pela plataforma escolhida - LinkedIn InMail, WhatsApp, Telegram ou Discord - com pretexto relevante ao perfil da vítima. Após estabelecer rapport (podendo levar dias ou semanas), compartilha o arquivo malicioso como parte natural da conversa: "aqui está o repositório do desafio técnico", "vejá a proposta de contrato no Google Drive", "baixe a ferramenta de colaboração da nossa empresa". O link ou arquivo é enviado pelo serviço de terceiro, contornando filtros de e-mail corporativo e DLP da organização alvo. ### 3. Pós-execução Com a execução do payload, o adversário obtém acesso ao ambiente da vítima. Ferramentas como o [[ninjá|Ninjá]] são utilizadas para manter persistência discreta. A partir daí, inicia-se movimentação lateral via [[t1021-remote-services|Remote Services]], coleta de credenciais com [[t1003-os-credential-dumping|OS Credential Dumping]] e, dependendo do objetivo, exfiltração de propriedade intelectual, acesso a carteiras de criptomoedas ou comprometimento de pipelines de desenvolvimento para um ataque subsequente de [[t1195-002-compromise-software-supply-chain|Supply Chain]]. ## Detecção > [!tip] Monitoramento fora do perímetro > Essa técnica opera em canais fora do controle direto do SOC. A detecção depende de treinamento de usuários, monitoramento de endpoints e análise comportamental de processos. ## Mitigação | Controle | Mitigação MITRE | Recomendação para Organizações Brasileiras | |----------|----------------|---------------------------------------------| | Treinamento de usuários | [[m1017-user-training\|M1017 - User Training]] | Realizar simulações de spearphishing via LinkedIn e WhatsApp, não apenas e-mail. Treinar funcionários para verificar identidades por canal alternativo antes de abrir arquivos de contatos desconhecidos. | | Restrição de acesso a serviços externos | [[m1021-restrict-web-based-content\|M1021 - Restrict Web-Based Content]] | Bloquear download de executáveis via proxies corporativos. Restringir acesso a serviços de armazenamento pessoal (Google Drive pessoal, WeTransfer) em dispositivos corporativos. | | Gestão de contas | [[m1018-user-account-management\|M1018 - User Account Management]] | Aplicar princípio de menor privilégio. Funcionários com acesso a sistemas críticos não devem acessar redes sociais em dispositivos corporativos sem sandbox. | | EDR e antimalware | [[Antimalware]] | Garantir cobertura de EDR em todos os endpoints, com análise comportamental ativa. Monitorar processos filhos gerados por clientes de mensageria e navegadores. | | Auditoria e monitoramento | [[m1047-audit\|M1047 - Audit]] | Habilitar logging de Sysmon com regras para processos filhos de navegadores. Revisar periodicamente perfis corporativos no LinkedIn para detectar personificação. | ## Threat Actors - [[g0016-apt29|APT29]] - Grupo de espionagem russo (SVR) que utilizou perfis falsos no LinkedIn para abordar diplomatas e pesquisadores acadêmicos, entregando implantes via links para documentos hospedados em serviços legítimos de nuvem. - [[g1052-contagious-interview|Contagious Interview]] - Operação norte-coreana vinculada ao [[g0032-lazarus-group|Lazarus Group]] que ataca desenvolvedores via LinkedIn e plataformas de freelance com falsos processos seletivos técnicos, entregando pacotes npm e PyPI maliciosos. - [[g1011-exotic-lily|EXOTIC LILY]] - Broker de acesso inicial especializado em spearphishing via e-mail e serviços de terceiros, com uso documentado de perfis falsos do LinkedIn para abordar alvos antes do ataque. - [[g0037-fin6|FIN6]] - Grupo financeiro motivado que utiliza plataformas de recrutamento e redes sociais para atingir funcionários de setores varejistas e de pagamento, visando acesso a sistemas de PDV e dados de cartões. - [[g0049-oilrig|OilRig]] - Grupo iraniano (APT34) com histórico de campanhas de spearphishing via serviços como WhatsApp e LinkedIn, especialmente contra governos e empresas de energia no Oriente Médio - modelo relevante para operações contra o setor energético brasileiro. - [[g0070-dark-caracal|Dark Caracal]] - Grupo de espionagem estatal que operou campanhas de vigilância via aplicativos trojanizados distribuídos por WhatsApp e Telegram, com vítimas documentadas na América Latina. - [[g1022-toddycat|ToddyCat]] - APT com foco em governos asiáticos que utilizou serviços de mensageria para entrega inicial de implantes como parte de campanhas de espionagem prolongadas. - [[g1012-curium|CURIUM]] - Grupo iraniano que construiu relacionamentos de longo prazo via redes sociais com alvos no Oriente Médio antes de entregar malware, demonstrando paciência operacional característica da técnica. - [[g0112-windshift|Windshift]] - Grupo focado em indivíduos de alto valor que utiliza spearphishing via serviços de mensageria pessoal para instalar stalkerware em dispositivos macOS e iOS. - [[g0130-ajax-security-team|Ajax Security Team]] - Grupo iraniano que usou plataformas de redes sociais para distribuir phishing direcionado a dissidentes e setores industriais. ## Software Associado - [[ninjá|Ninjá]] - Implante de acesso remoto leve utilizado pelo [[g0080-cobalt-group|Cobalt Group]] e outros grupos, frequentemente entregue como payload final após comprometimento inicial via serviço de terceiro; suporta execução de comandos, captura de tela e transferência de arquivos. --- *Fonte: [MITRE ATT&CK - T1566.003](https://attack.mitre.org/techniques/T1566/003)*