# T1598.003 - Spearphishing Link
> [!info] Visão Geral
> **Tática:** Reconnaissance · **ID:** T1598.003 · **Técnica Pai:** [[t1598-phishing-for-information|T1598 - Phishing for Information]] · **Versão MITRE:** 16.2
> Adversários enviam e-mails spearphishing com links maliciosos para direcionar alvos a sites de coleta de credenciais e informações sensíveis. É a sub-técnica mais prevalente de T1598, utilizada por mais de 10 grupos APT documentados.
## Descrição
O **T1598.003 - Spearphishing Link** é a sub-técnica mais sofisticada e amplamente utilizada da família [[t1598-phishing-for-information|T1598 - Phishing for Information]]. Nela, adversários enviam mensagens de spearphishing - altamente personalizadas para o alvo específico - contendo links que direcionam para infraestrutura controlada pelo atacante, projetada para coletar credenciais, tokens de sessão e outras informações sensíveis.
Ao contrário do spearphishing clássico de execução de código ([[t1566-002-spearphishing-link|T1566.002]]), o objetivo aqui é exclusivamente a **extração de informações**. O site de destino pode ser um clone perfeito de um portal corporativo, uma página de login de serviço popular (Microsoft 365, Google Workspace, VPN corporativa), ou um formulário aparentemente legítimo solicitando informações para "verificação de segurança" ou "atualização de cadastro".
### Vetores Técnicos de Ataque
**Credential Harvesting Clássico:** A vítima é direcionada para uma página que imita fielmente o portal de autenticação legítimo. As credenciais inseridas são capturadas pelo servidor do adversário enquanto a vítima é redirecionada transparentemente ao serviço real, sem perceber o comprometimento.
**Ataques AiTM (Adversary-in-the-Middle):** Utilizando ferramentas como `EvilProxy` e `Evilginx2`, adversários atuam como proxy reverso entre a vítima e o serviço legítimo. Todo o tráfego é interceptado em tempo real, incluindo **cookies de sessão pós-autenticação** - o que permite contornar MFA. O [[s0677-aadinternals|AADInternals]] é frequentemente utilizado em conjunto para operações contra infraestruturas Microsoft/Azure.
**Browser-in-the-Browser (BitB):** Técnica avançada que gera uma jánela popup falsa dentro do navegador, com uma barra de endereço HTML que imita a aparência de um domínio legítimo. A vítima acredita estar em uma jánela separada e segura, enquanto na realidade está inserindo credenciais em uma interface controlada pelo atacante.
**QR Code Phishing ("Quishing"):** Links maliciosos entregues via QR Code em e-mails, impedindo a análise automática por gateways de e-mail que verificam URLs em texto plano. Ao escanear o QR com dispositivo móvel - frequentemente menos protegido - a vítima acessa o site de coleta. O [[s0649-smokedham|SMOKEDHAM]] foi associado a campanhas com esta técnica.
**Tracking Pixels e Web Bugs:** Imagens de 1×1 pixel embutidas em e-mails HTML verificam a abertura da mensagem e coletam metadados da vítima (endereço IP, agente de usuário, horário), informações que alimentam o perfil do alvo para ataques subsequentes.
**Ofuscação de URL:** Adversários exploram peculiaridades do esquema de URL para disfarçar destinos maliciosos: uso de `@` para ignorar texto precedente (`http://
[email protected]` resolve para `attacker.com`), codificação hexadecimal ou decimal de IPs, abuso de redirecionadores de URL legítimos, e encurtadores de URL.
---
## Como Funciona
**Etapa 1 - Reconhecimento e Seleção de Alvo:** Antes do envio, o adversário conduz reconhecimento extensivo usando [[t1593-001-social-media|T1593.001 - Social Media]] e fontes OSINT para identificar funcionários de alto valor, mapear relacionamentos e construir pretextos convincentes.
**Etapa 2 - Preparação da Infraestrutura:** Registra domínio typosquatting próximo ao alvo (`empresa-corp[.]com` em vez de `empresacorp.com`), configura servidor com certificado TLS válido (HTTPS com cadeado verde não garante legitimidade do site), e clona a aparência visual do portal alvo usando ferramentas como [[evilginx2|Evilginx2]] ou [[evilproxy|EvilProxy]].
**Etapa 3 - Crafting da Mensagem:** Redige e-mail personalizado com referências específicas ao alvo (nome, cargo, projetos recentes) para superar a desconfiança natural. Frequentemente usa urgência ("sua conta será bloqueada em 24 horas"), autoridade ("comúnicado urgente do CISO"), ou reciprocidade ("sua participação é necessária para esta pesquisa regulatória").
**Etapa 4 - Envio e Evasão:** Envia a partir de conta legítima comprometida ([[t1586-compromise-accounts|T1586]]) ou de domínio configurado com SPF/DKIM válidos para evitar filtros antispam. Horários de envio são calculados para coincidir com picos de atividade do alvo.
**Etapa 5 - Captura e Exfiltração:** Quando a vítima clica no link e insere suas credenciais, os dados são transmitidos ao servidor do adversário em tempo real. Em ataques AiTM, a sessão autenticada - incluindo cookies MFA - é capturada antes do redirecionamento.
**Etapa 6 - Exploração Posterior:** As credenciais coletadas são utilizadas para acesso inicial ([[t1566-phishing|T1566]]), acesso a APIs, exfiltração de e-mails corporativos, ou vendidas a outros grupos como Initial Access Brokers.
---
## Attack Flow
```mermaid
graph TB
A["🔍 Reconhecimento do Alvo<br/>OSINT, LinkedIn, site corporativo"] --> B["🏗️ Infraestrutura Maliciosa<br/>Domínio typosquatting + TLS válido<br/>Evilginx2 / EvilProxy / clone manual"]
B --> C["✉️ E-mail Spearphishing<br/>Personalizado com pretexto convincente<br/>Enviado de conta legítima ou spoofada"]
C --> D{"Vítima interage?"}
D -->|"Clica no link"| E{"Tipo de ataque"}
D -->|"Ignora"| Z["❌ Ataque falhou<br/>Possível retentativa com novo pretexto"]
E -->|"Credential Harvesting"| F["🌐 Portal Falso<br/>Clone de Microsoft 365 / VPN / SSO"]
E -->|"AiTM Proxy"| G["🔄 Proxy Reverso<br/>EvilProxy / Evilginx2<br/>Intercepção em tempo real"]
E -->|"BitB Attack"| H["🪟 Browser-in-the-Browser<br/>Popup falso com URL convincente"]
E -->|"QR Code"| I["📱 Dispositivo Móvel<br/>URL oculta do gateway de e-mail"]
F --> J["🔑 Credenciais Capturadas<br/>Username + Password"]
G --> K["🍪 Credenciais + Cookie de Sessão<br/>Bypassa MFA"]
H --> J
I --> J
J --> L["⚡ Acesso Inicial / Próxima Fase<br/>T1566, T1078, movimento lateral"]
K --> L
```
---
## Exemplos de Uso
### Silent Librarian - Campanhas contra Universidades e Institutos de Pesquisa
O grupo iraniano [[g0122-silent-librarian|Silent Librarian]] (TA407) é especializado em T1598.003 direcionado a instituições acadêmicas. O grupo criou clones perfeitos de portais de bibliotecas universitárias e sistemas de acesso a periódicos científicos (IEEE, Elsevier, Springer) em dezenas de países. Pesquisadores eram direcionados por e-mails com alertas sobre "expiração de acesso" ou "atualização de credenciais", entregando seus logins ao grupo iraniano, que utilizava os acessos para baixar em massa artigos científicos e pesquisas de alto valor estratégico. Universidades brasileiras, especialmente com pesquisa em defesa e tecnologia de ponta, figuram entre alvos documentados.
### APT28 (Fancy Bear) - Phishing contra Entidades Políticas e Militares
O grupo russo [[g0007-apt28|APT28]] utiliza T1598.003 em escala industrial, com páginas de coleta de credenciais altamente sofisticadas clonando portais do Gmail, Microsoft 365 e sistemas de webmail governamentais. Utilizando o serviço de encurtamento de URL Bitly e domínios recentemente registrados, o grupo envia links via e-mail para funcionários de Ministérios de Defesa, partidos políticos e think tanks. Após a coleta de credenciais, o acesso às caixas postais fornece inteligência de alto valor e permite o lançamento de ataques de BEC internos (Business Email Compromise).
### Magic Hound (APT35) - Credenciais de Serviços Cloud
O grupo iraniano [[g0059-magic-hound|Magic Hound]] (Charming Kitten) emprega T1598.003 com páginas de coleta clonando portais de serviços cloud populares - especialmente Google Workspace e Microsoft 365 - direcionadas a jornalistas, ativistas, acadêmicos e funcionários de ONGs. O grupo é notório pela persistência: envia múltiplas mensagens ao mesmo alvo durante semanas, variando pretextos (segurança, prêmio, convite) até obter engajamento. O uso de tracking pixels confirma a abertura dos e-mails antes do envio de mensagens de acompanhamento personalizadas.
### Sandworm Team - Operações de Coleta de Credenciais na Ucrânia e Europa
O grupo russo [[g0034-sandworm|Sandworm Team]] (Unidade 74455 do GRU) utilizou T1598.003 em operações de espionagem e sabotagem, combinando coleta de credenciais com [[t1539-steal-web-session-cookie|T1539 - Steal Web Session Cookie]] para acessar sistemas críticos de infraestrutura. O grupo clonou portais de webmail de organizações governamentais ucranianas e europeias, coletando credenciais que posteriormente permitiram acesso a sistemas de controle industrial e infraestrutura crítica.
### Sidewinder - Reconhecimento contra Governos do Sul e Sudeste Asiático
O grupo [[g0121-sidewinder|Sidewinder]] (presumivelmente vinculado à Índia) combina T1598.003 com exploração de CVEs em documentos para campanhas contra governos e militares do Paquistão, Sri Lanka, Maldivas e Afeganistão. Os e-mails spearphishing imitam comúnicações oficiais do governo indiano ou de organizações regionais, direcionando para páginas de login falsas que coletam credenciais de sistemas governamentais.
---
## Detecção
A detecção de T1598.003 requer uma abordagem multicamada, pois os ataques modernos com AiTM e BitB contornam muitas defesas tradicionais.
### Regra Sigma - Acesso a URL de Phishing Conhecida
```yaml
title: Access to Known Credential Harvesting URL Pattern
status: experimental
description: |
Detecta requisições HTTP/HTTPS a URLs com padrões típicos de
páginas de coleta de credenciais ou domínios de phishing conhecidos.
logsource:
category: proxy
product: generic
detection:
selection_suspicious_path:
cs-uri-path|contains:
- '/login/verify'
- '/account/confirm'
- '/security/updaté'
- '/auth/válidaté'
- '/credential/check'
selection_new_domain:
cs-host|re: '^[a-z0-9\-]{3,20}\.(click|xyz|top|cc|pw|tk|ml|ga|cf)