# T1583.008 - Malvertising ## Descrição Malvertising - contração de *malicious advertising* - é a técnica pela qual adversários compram ou injetam anúncios online maliciosos em redes de publicidade legítimas para distribuir malware ou redirecionar vítimas a domínios controlados pelo atacante. A eficácia da técnica reside na confiança implícita que usuários depositam em mecanismos de busca e sites populares: um anúncio patrocinado no topo de resultados do Google ou Bing é frequentemente tratado como resultado legítimo. No contexto Brasil/LATAM, malvertising é amplamente empregado por grupos criminosos para distribuir stealers bancários, RATs e loaders. O Brasil é um dos países com maior volume de golpes via anúncios patrocinados - a combinação de alta penetração de internet, baixo índice de uso de ad blockers corporativos e forte presença de serviços financeiros digitais cria um ambiente fértil. Campanhas frequentemente imitam portais bancários brasileiros ([[itau|Itaú]], [[bradesco|Bradesco]]), softwares corporativos populares (AnyDesk, TeamViewer) e ferramentas de produtividade. O grupo [[g1020-mustard-tempest|Mustard Tempest]] é um dos principais operadores desta técnica, utilizando-a para distribuir o loader [[s1130-raspberry-robin|Raspberry Robin]] e preparar acesso inicial para ransomware. A cadeia típica envolve: 1. Compra de anúncios em redes como Google Ads ou Meta Ads impersonando software legítimo 2. Criação de domínio typosquatting (ex: `anydesk-download[.]com`) hospedando versão trojanizada 3. Redirecionamento condicional - crawlers de verificação de anúncios recebem conteúdo benigno; usuários reais são enviados à página maliciosa 4. Download e execução de installer malicioso que solta [[s1130-raspberry-robin|Raspberry Robin]] ou outro loader Esta técnica alimenta diretamente [[t1608-004-drive-by-target|T1608.004 - Drive-by Target]] e pode levar a [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] quando o anúncio contém exploits de browser. > **Técnica pai:** [[t1583-acquire-infrastructure|T1583 - Acquire Infrastructure]] --- ## Attack Flow ```mermaid graph TB A([Adversário]) --> B[Registra domínio<br/>typosquatting] B --> C[Hospeda site clone<br/>com installer malicioso] C --> D[Compra anúncio<br/>em rede legítima] D --> E{Visitante\nclica no anúncio} E -->|Crawler/verificador| F[Redireciona para<br/>site benigno] E -->|Usuário real| G[Redireciona para<br/>site malicioso] G --> H[Download de<br/>installer trojanizado] H --> I(["T1189<br/>Drive-by Compromise"]) H --> J(["Raspberry Robin<br/>Loader"]) J --> K(["Ransomware /<br/>Acesso inicial"]) style G fill:#e74c3c,color:#fff style H fill:#e74c3c,color:#fff ``` --- ## Como Funciona **Passo 1 - Preparação da infraestrutura de anúncios** O adversário registra domínios que imitam software legítimo (typosquatting ou combosquatting) e cria páginas de download convincentes com elementos visuais copiados dos sites originais. O servidor é configurado com lógica de redirecionamento condicional: requisições oriundas de IPs de datacenters ou com User-Agents de bots recebem conteúdo inofensivo, enquanto usuários reais são servidos com o payload malicioso. **Passo 2 - Compra e posicionamento de anúncios** Utilizando contas de anunciante legítimas (frequentemente compradas ou comprometidas), o adversário cria campanhas de anúncio nas plataformas alvo. Para maximizar alcance no Brasil, campanhas são segmentadas por idioma (português), localização geográfica (BR, MX, AR) e termos de busca de alto volume relacionados a downloads de software corporativo. O anúncio aparece acima dos resultados orgânicos, explorando a tendência de usuários clicarem no primeiro resultado. **Passo 3 - Infecção e persistência** A vítima baixa e executa o installer malicioso, que pode conter um loader como [[s1130-raspberry-robin|Raspberry Robin]], um stealer de credenciais bancárias ou um RAT completo. Em ambientes corporativos brasileiros, o objetivo frequente é escalar para ransomware ([[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]]) ou vender o acesso inicial a outros grupos. --- ## Detecção > Malvertising é difícil de detectar na camada de rede porque o tráfego inicial é para redes de anúncios legítimas. Os indicadores mais eficazes são comportamentais e de DNS. ### Event IDs relevantes (Windows) | Event ID | Fonte | Relevância | |----------|-------|------------| | 4688 | Security | Processo filho de browser (chrome.exe, msedge.exe) criando installers ou scripts | | 4104 | PowerShell | Execução de PowerShell encoded/obfuscated após download de browser | | 11 | Sysmon | FileCreaté - arquivo .exe/.msi criado em %TEMP% ou %APPDATA% por processo de browser | | 3 | Sysmon | NetworkConnect - conexão de instalador para C2 imediatamente após execução | | 22 | Sysmon | DNSQuery - resolução de domínio typosquatting por processo de browser | ### Sigma Rule - Download Suspeito via Browser com Execução Imediata ```yaml title: Browser Spawns Installer with Immediaté Network Connection id: b8e4f1a2-5c9d-4e3b-8f7a-2d1c6e9b0f3a status: experimental description: > Detecta padrão típico de malvertising: browser faz download de arquivo executável que imediatamente inicia conexão de rede - comportamento consistente com loaders baixados via anúncios maliciosos (ex: Raspberry Robin, IcedID, BumbleBee). author: RunkIntel daté: 2026-03-24 logsource: category: process_creation product: windows detection: selection_browser_child: ParentImage|endswith: - '\chrome.exe' - '\msedge.exe' - '\firefox.exe' - '\brave.exe' Image|endswith: - '.exe' - '.msi' CommandLine|contains: - 'Temp' - 'AppData' - 'Downloads' filter_known_legit: Image|contains: - 'WindowsInstaller' - 'MsiExec' condition: selection_browser_child and not filter_known_legit fields: - Image - ParentImage - CommandLine - User falsepositives: - Instaladores legítimos baixados via browser por usuários - Atualizações automáticas de software level: medium tags: - attack.resource-development - attack.t1583.008 - attack.initial-access - attack.t1189 ``` --- ## Mitigação | ID | Mitigação | Aplicação para Organizações Brasileiras | |----|-----------|----------------------------------------| | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Pré-comprometimento | Monitorar e reportar anúncios maliciosos que imitam marcas da organização; acionar Google/Meta para remoção | | - | DNS Filtering | Implementar filtragem DNS (ex: Cisco Umbrella, Cloudflare Gateway) para bloquear domínios typosquatting conhecidos - eficaz contra redirecionamentos de malvertising | | - | Browser Hardening | Configurar políticas de navegador (via GPO) para bloquear download de executáveis não assinados; habilitar SmartScreen no Edge/Chrome | | - | Ad Blocker Corporativo | Implantar extensões de bloqueio de anúncios em browsers corporativos (uBlock Origin enterprise) - remove a superfície de ataque principal | | - | Conscientização | Treinar usuários brasileiros para identificar URLs typosquatting; campanha específica sobre risco de clicar em anúncios patrocinados para download de software | | - | Application Control | Usar AppLocker ou Windows Defender Application Control para impedir execução de instaladores não aprovados vindos de %TEMP% e %Downloads% | --- ## Threat Actors que Usam ### [[g1020-mustard-tempest|Mustard Tempest]] Principal operador de malvertising documentado pelo MITRE. Grupo financeiramente motivado que utiliza campanhas de anúncios maliciosos em larga escala para distribuir o loader [[s1130-raspberry-robin|Raspberry Robin]]. As campanhas frequentemente impersonam softwares legítimos de acesso remoto (AnyDesk, TeamViewer) e ferramentas de produtividade. O acesso inicial gerado é tipicamente vendido ou usado para implantar ransomware. Campanhas com foco em Portugal e Brasil têm sido observadas dado o idioma compartilhado. ## Software Associado ### [[s1130-raspberry-robin|Raspberry Robin]] Loader altamente evasivo, frequentemente distribuído como payload final de campanhas de malvertising orquestradas pelo [[g1020-mustard-tempest|Mustard Tempest]]. Após instalação inicial via installer trojanizado, o Raspberry Robin estabelece persistência, realiza reconhecimento do ambiente e carrega payloads adicionais - incluindo ransomware e ferramentas de exfiltração. Detectado em ambientes corporativos no Brasil associado a tentativas de movimentação lateral. --- *Fonte: [MITRE ATT&CK - T1583.008](https://attack.mitre.org/techniques/T1583/008)*