# T1566 - Phishing ## Descrição Phishing é uma das técnicas de acesso inicial mais amplamente utilizadas por adversários em todo o espectro de ameaças - de grupos de espionagem patrocinados por estados até operadores de ransomware e golpistas financeiros. O ataque consiste no envio de mensagens eletrônicas cuidadosamente elaboradas para induzir a vítima a executar uma ação que compromete o sistema ou entrega credenciais ao atacante. As mensagens podem conter anexos maliciosos, links para páginas de coleta de credenciais, ou instruções para instalação de ferramentas de acesso remoto. O spearphishing - a variante direcionada - representa o maior risco para organizações. Nele, o adversário realiza reconhecimento prévio sobre a vítima (cargo, relações profissionais, projetos em andamento) para construir mensagens altamente críveis. Técnicas de evasão como [[t1564-008-email-hiding-rules|Email Hiding Rules]] e [[t1672-email-spoofing|Email Spoofing]] são frequentemente combinadas para contornar filtros automáticos e enganar o destinatário humano. Em variantes mais sofisticadas, os atacantes sequestram threads de e-mail legítimas - "thread hijacking" - inserindo arquivos ou links maliciosos em conversas já em andamento entre a vítima e contatos confiáveis. Além do e-mail, o phishing pode ser conduzido via plataformas de terceiros como redes sociais, aplicativos de mensagens corporativas (Teams, Slack) e SMS. A técnica [[t1566-004-spearphishing-voice|T1566.004 - Spearphishing Voice]] (vishing) instrui a vítima por ligação telefônica a visitar uma URL maliciosa ou instalar um Remote Management Tool, culminando em [[t1204-user-execution|User Execution]]. **Contexto Brasil/LATAM:** O Brasil é consistentemente um dos países mais visados por campanhas de phishing no mundo. O setor financeiro nacional é alvo preferêncial - boletos bancários falsificados, páginas de login clonadas de grandes bancos e falsas notificações do Detran ou Receita Federal são vetores endêmicos. Grupos de ransomware como [[g1032-inc-ransom|INC Ransom]] utilizam phishing para acesso inicial antes de pivotar lateralmente e criptografar ambientes corporativos. A adoção massiva de e-mails corporativos com domínios pouco conhecidos no Brasil aumenta a superfície de ataque, já que usuários têm menor repertório visual para identificar falsificações. ## Attack Flow ```mermaid graph TB RECON["Reconhecimento<br/>(OSINT / LinkedIn)"]:::neutral --> CRAFT["Construção da isca<br/>(e-mail / anexo / link)"]:::neutral CRAFT --> DELIVER["Entrega<br/>(T1566 - Phishing)"]:::attack DELIVER --> EXEC["Execução pela vítima<br/>(T1204)"]:::neutral EXEC --> ACCESS["Acesso Inicial<br/>Estabelecido"]:::neutral classDef neutral fill:#2c3e50,color:#ecf0f1,stroke:#7f8c8d classDef attack fill:#e74c3c,color:#fff,stroke:#c0392b ``` ## Como Funciona **Passo 1 - Preparação e disfarce:** O adversário registra um domínio semelhante ao da organização-alvo (typosquatting) ou compromete uma conta legítima de e-mail para enviar as mensagens. Conteúdo de isca é elaborado com base em reconhecimento prévio: nome do destinatário, nome do gestor, referência a projetos reais. Arquivos maliciosos (Office com macros, PDF com exploit, LNK) ou URLs encurtadas são embutidos na mensagem. **Passo 2 - Entrega e engenharia social:** A mensagem é enviada com senso de urgência ou autoridade - simulando RH, TI, parceiro de negócios ou órgão governamental. Em ambientes corporativos brasileiros, temas recorrentes incluem comprovantes de pagamento, notas fiscais eletrônicas e regularização de CNPJ. A vítima abre o anexo ou clica no link, acreditando tratar-se de comunicação legítima. **Passo 3 - Comprometimento e persistência:** Após a execução ([[t1204-user-execution|T1204]]), o payload instala um implante (RAT, stager de C2) ou captura credenciais via página clonada. O adversário obtém acesso inicial à rede e inicia reconhecimento interno, movimentação lateral e estabelecimento de persistência para operações subsequentes. ## Detecção **Event IDs relevantes (Windows):** | Event ID | Fonte | Descrição | |----------|-------|-----------| | 4688 | Security | Criação de processo - detectar Office abrindo cmd/powershell | | 1 | Sysmon | Process Creaté - filho suspeito de Outlook, Word, Excel | | 3 | Sysmon | Network Connection - Office/PDF reader conectando à internet | | 11 | Sysmon | FileCreaté - arquivos criados por processos de leitura de e-mail | | 4625 | Security | Falha de logon - possível credential harvesting posterior | **Regra Sigma - Office spawn shell suspeito:** ```yaml title: Office Application Spawning Suspicious Child Process id: 438025f9-5856-4663-83f7-52f878a70a50 status: stable description: > Detecta aplicações Office abrindo processos filhos suspeitos - indicativo de execução de macro maliciosa ou exploit de documento. logsource: category: process_creation product: windows detection: selection: ParentImage|endswith: - '\WINWORD.EXE' - '\EXCEL.EXE' - '\POWERPNT.EXE' - '\OUTLOOK.EXE' - '\MSPUB.EXE' Image|endswith: - '\cmd.exe' - '\powershell.exe' - '\wscript.exe' - '\cscript.exe' - '\mshta.exe' - '\regsvr32.exe' - '\rundll32.exe' condition: selection falsepositives: - Macros legítimas corporativas (válidar por hash e assinatura) level: high tags: - attack.initial_access - attack.t1566 - attack.t1566.001 ``` ## Mitigação | Controle | Mitigação | Prioridade para Org. Brasileira | |----------|-----------|--------------------------------| | [[m1017-user-training\|M1017 - User Training]] | Treinamento anti-phishing com simulações regulares; campanhas em PT-BR com cenários locais (boleto, NF-e, Detran) | Alta - primeira linha de defesa | | [[Antimalware]] | EDR com detecção comportamental habilitada em todos os endpoints; não depender apenas de antivírus baseado em assinatura | Alta | | [[m1031-network-intrusion-prevention\|M1031 - Network Intrusion Prevention]] | Gateway de e-mail com sandbox para análise de anexos; reescrever URLs em links de e-mail (Time-of-Click protection) | Alta | | [[m1021-restrict-web-based-content\|M1021 - Restrict Web-Based Content]] | Bloquear acesso a domínios recém-registrados (< 30 dias); filtros de categoria para phishing/credential harvesting | Média | | [[m1054-software-configuration\|M1054 - Software Configuration]] | Desabilitar execução de macros por padrão; usar AppLocker/WDAC para bloquear scripts não assinados | Média | | [[m1047-audit\|M1047 - Audit]] | Auditar logs de e-mail (SPF/DKIM/DMARC falhos); revisar regras de encaminhamento automático de caixa postal | Média | > [!tip] Dica para equipes brasileiras > Configure DMARC com política `p=reject` nos domínios da organização. Muitas empresas brasileiras operam com `p=none`, permitindo que atacantes falsifiquem e-mails enviados em nome do domínio corporativo sem qualquer bloqueio. ## Threat Actors - [[g0094-kimsuky|Kimsuky]] - grupo norte-coreano que utiliza spearphishing extensivamente contra pesquisadores, diplomatas e think tanks; envia documentos HWP (formato sul-coreano) e Word com macros maliciosas. - [[g1032-inc-ransom|INC Ransom]] - operador de ransomware-as-a-service com histórico de intrusões via phishing corporativo; utiliza [[s1139-inc-ransomware|INC Ransomware]] após acesso inicial. - [[g1041-sea-turtle|Sea Turtle]] - grupo de espionagem com foco em DNS hijacking e comprometimento de cadeia de fornecimento; usa phishing direcionado para acessar provedores de DNS e registradores de domínio. - [[g0001-axiom|Axiom]] - grupo chinês de espionagem industrial que historicamente combina phishing com exploits de browser para comprometimento de alvos corporativos de alto valor. - [[g1049-applejeus|AppleJeus]] - operação do [[g0032-lazarus-group|Lazarus Group]] focada em plataformas de criptomoeda; distribui trojans via spearphishing direcionado a desenvolvedores e traders. - [[g0115-gold-southfield|GOLD SOUTHFIELD]] - afiliado de ransomware que usa phishing em massa para distribuição do [[s1073-royal-blacksuit|Royal]] e outros payloads; alvos incluem setor de saúde e manufatura. ## Software Associado - [[s0009-hikit|Hikit]] - backdoor modular utilizado em campanhas de espionagem; instalado após comprometimento via phishing direcionado, permite acesso persistente e exfiltração de dados. - [[s1139-inc-ransomware|INC Ransomware]] - ransomware usado pelo [[g1032-inc-ransom|INC Ransom]]; distribuído via phishing corporativo, com foco em encriptação de servidores de arquivos e backups. - [[s1073-royal-blacksuit|Royal]] - ransomware que sucedeu o Conti no ecossistema de crime cibernético; entregue via phishing com engenharia social sofisticada, frequentemente através de ligações de callback (vishing). ## Sub-técnicas - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] - [[t1566-003-spearphishing-via-service|T1566.003 - Spearphishing via Service]] - [[t1566-004-spearphishing-voice|T1566.004 - Spearphishing Voice]]