t1585-001-social-media-accounts

# T1585.001 - Social Media Accounts ## Descrição Adversários criam e cultivam contas em redes sociais para construir personas fictícias ou impersonar indivíduos reais, com o objetivo de estabelecer confiança com alvos antes de iniciar ataques. Essa técnica é uma das formas mais sofisticadas de preparação de operações - ela humaniza o adversário e reduz a desconfiança natural do alvo. No contexto **Brasil/LATAM**, o uso de perfis falsos em LinkedIn, Instagram e WhatsApp é especialmente prevalente. Grupos como [[g1015-scattered-spider|Scattered Spider]] e [[g1011-exotic-lily|EXOTIC LILY]] constroem identidades completas - foto de perfil gerada por IA, histórico de emprego plausível, conexões com profissionais reais - para executar [[t1566-003-spearphishing-via-service|Spearphishing via Service]] e ataques de engenharia social direcionados. O LinkedIn brasileiro, com sua forte presença corporativa, é vetor frequente de reconhecimento e aproximação com funcionários de [[government|governo]], [[_sectors|energia]] e [[healthcare|saúde]]. A persona desenvolvida complementa [[t1585-002-email-accounts|contas de e-mail]] criadas em paralelo, criando um ecossistema de identidade falsa coerente. O tempo de cultivo varia de dias (ataques oportunistas) a meses (campanhas APT de longa duração). Uma vez estabelecida, a persona pode ser usada para [[t1589-gather-victim-identity-information|coletar informações]] dos alvos, entregar links maliciosos ou convencer funcionários a fornecer credenciais. > **Técnica pai:** [[t1585-*|T1585 - Establish Accounts]] --- ## Attack Flow ```mermaid graph TB A([Reconhecimento]) --> B([Desenvolvimento de Recursos]) B --> C{{"T1585.001<br/>Contas em<br/>Redes Sociais"}}:::highlight C --> D([Spearphishing via Serviço]) C --> E([Coleta de Informações]) C --> F([Engenharia Social Direta]) D --> G([Acesso Inicial]) E --> G F --> G classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b,stroke-width:2px ``` --- ## Como Funciona **1. Criação e preenchimento da persona** O adversário registra contas em uma ou mais plataformas (LinkedIn, Facebook, Twitter/X, Instagram, WhatsApp Business). O perfil é preenchido com informações plausíveis: foto gerada por IA (deepfake), cargo fictício em empresa real, localização compatível com o alvo. Redes como LinkedIn facilitam a verificação cruzada porque as conexões são públicas. **2. Cultivo e expansão da rede** A persona envia convites de conexão a alvos e contatos periféricos, interage com públicações de empresas-alvo, comenta em discussões técnicas e compartilha conteúdo legítimo da área. Esse comportamento aumenta a credibilidade do perfil em algoritmos de recomendação e na percepção humana. O processo pode durar de semanas a meses em operações APT sofisticadas. **3. Ativação do vetor de ataque** Com a confiança estabelecida, a persona aborda o alvo diretamente via mensagem privada, compartilha link de [[t1566-003-spearphishing-via-service|Spearphishing]], solicita informações sensíveis sob pretexto plausível (pesquisa de mercado, oportunidade de emprego, parceria técnica) ou entrega arquivo malicioso. Em casos de vishing, a conta válida a identidade do "recrutador" ou "executivo" por telefone. --- ## Detecção ### Event IDs relevantes | Plataforma | Sinal | Descrição | |------------|-------|-----------| | Proxy/NGFW | URLs de redes sociais + User-Agent incomum | Acesso a LinkedIn/Facebook de IPs externos em sequência rápida | | SIEM (correlação) | - | Usuário recebe mensagem DM + acessa link externo em < 5 minutos | | EDR | Process creation | Browser spawning processo suspeito após clique em link de rede social | | Microsoft Purview | DLP alerts | Exfiltração de dados após acesso iniciado via rede social corporativa | ### Sigma Rule - Acesso a Link Externo Via Rede Social Corporativa ```yaml title: Suspicious External Link Access Originating From Social Media Referrer id: b7e92d3f-4c11-4a88-bc5e-abcdef012345 status: experimental description: > Detecta quando um usuário clica em link de rede social e acessa domínio externo registrado recentemente ou com reputação baixa, potencial indicador de spearphishing via serviço. author: RunkIntel CTI daté: 2026-03-24 logsource: category: proxy product: zscaler detection: selection_referrer: cs-referer|contains: - 'linkedin.com' - 'facebook.com' - 'twitter.com' - 'instagram.com' - 'wa.me' selection_destination: c-uri-domain|re: '^[a-z0-9\-]{5,15}\.(xyz|top|click|online|site|tk) condition: selection_referrer and selection_destination falsepositives: - Campanhas de marketing legítimas com domínios curtos - Encurtadores de URL internos level: high tags: - attack.resource_development - attack.t1585.001 - attack.initial_access - attack.t1566.003 ``` --- ## Mitigação | ID | Controle | Ação Recomendada para Organizações Brasileiras | |----|----------|-----------------------------------------------| | [[m1056-pre-compromise\|M1056]] | Pré-comprometimento | Monitoramento de OSINT: alertas automáticos quando nome da empresa/executivos aparecem em novos perfis de redes sociais | | - | Política de redes sociais corporativas | Proibir conexão de contas LinkedIn corporativas com perfis sem histórico verificável; treinar RH para reconhecer recrutadores falsos | | - | Treinamento de conscientização | Exercícios de phishing social (não apenas e-mail) - simulações via LinkedIn/WhatsApp para equipes de TI, RH e financeiro | | - | Verificação de identidade fora de banda | Para solicitações recebidas via redes sociais (compartilhamento de arquivo, reunião urgente), válidar por canal alternativo (ligação para ramal conhecido) | | - | Bloqueio de DMs em plataformas corporativas | Em ambientes de alto risco (governo, defesa, energia), restringir mensagens diretas de desconhecidos em LinkedIn via políticas de SSO corporativo | --- ## Threat Actors que Usam | Grupo | Contexto | |-------|----------| | [[g1015-scattered-spider\|Scattered Spider]] | Usa LinkedIn e Telegram para engenharia social contra help desks; responsável por comprometimentos de grandes empresas via vishing em 2023-2024 | | [[g1011-exotic-lily\|EXOTIC LILY]] | Especializado em personas LinkedIn com histórico profissional elaborado; usa convites de parceria para entregar malware a empresas de TI e saúde | | [[g0034-sandworm\|Sandworm Team]] | APT russo (GRU); usa perfis falsos em Twitter/X e Telegram para desinformação e aproximação com alvos de infraestrutura crítica | | [[g1051-medusa-ransomware\|Medusa Group]] | Ransomware-as-a-service; usa Facebook e WhatsApp para reconhecimento e engenharia social inicial contra PMEs brasileiras | | [[g1050-water-galura\|Water Galura]] | Grupo de crime financeiro; foca em LinkedIn para identificar funcionários de bancos e fintechs brasileiras com acesso a sistemas internos | | [[g0094-kimsuky\|Kimsuky]] | APT norte-coreano; impersona pesquisadores e jornalistas em Twitter/X para coleta de informações de think tanks | | [[g1001-hexane\|HEXANE]] | Iraniano; usa LinkedIn para identificar engenheiros em empresas de petróleo e gás - relevante para Petrobras e setor de energia LATAM | | [[g0065-leviathan\|Leviathan]] | APT chinês; cria personas de recrutador em LinkedIn para atrair profissionais de defesa e academia | | [[g1012-curium\|CURIUM]] | Iraniano; usa Facebook para operações de longa duração contra telecomúnicações e governo | | [[g0003-cleaver\|Cleaver]] | Iraniano (Cutting Kitten); usa LinkedIn e e-mail para spearphishing contra infraestrutura crítica | --- *Fonte: [MITRE ATT&CK - T1585.001](https://attack.mitre.org/techniques/T1585/001)*