t1585-002-email-accounts

# T1585.002 - Email Accounts ## Descrição Adversários criam contas de e-mail para dar suporte a operações ofensivas antes de interagir com o alvo. Essas contas são usadas principalmente para conduzir campanhas de [[t1566-phishing|Phishing]] e [[t1598-phishing-for-information|Phishing for Information]], disfarçando o remetente como entidade confiável - um fornecedor, banco ou colega de trabalho. No contexto **Brasil/LATAM**, essa técnica está intimamente associada a golpes de engenharia social voltados ao setor [[_sectors|financeiro]], [[government|governo]] e [[healthcare|saúde]]. Grupos como [[g1051-medusa-ransomware|Medusa Group]] e [[g0122-silent-librarian|Silent Librarian]] têm utilizado serviços gratuitos como Gmail, Outlook e ProtonMail para criar identidades descartáveis. A baixa rastreabilidade de contas criadas com dados falsos - especialmente em provedores que não exigem verificação de telefone real - torna o Brasil um alvo frequente desse vetor, dado o alto volume de usuários corporativos em plataformas de e-mail globais. Adversários costumam combinar essa técnica com [[t1585-001-social-media-accounts|Social Media Accounts]] para construir uma persona completa antes de abordar alvos - aumentando a credibilidade do remetente em ataques direcionados ([[t1566-002-spearphishing|Spearphishing]]). As contas de e-mail criadas também são reutilizadas para registrar [[t1583-001-domains|Domínios]] e [[t1583-acquire-infrastructure|Infraestrutura]] adicional de ataque. > **Técnica pai:** [[t1585-*|T1585 - Establish Accounts]] --- ## Attack Flow ```mermaid graph TB A([Reconhecimento]) --> B([Desenvolvimento de Recursos]) B --> C{{"T1585.002<br/>Criação de<br/>Contas de E-mail"}}:::highlight C --> D([Phishing / Spearphishing]) C --> E([Registro de Domínios]) C --> F([Engenharia Social]) D --> G([Acesso Inicial]) E --> G F --> G classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b,stroke-width:2px ``` --- ## Como Funciona **1. Criação da identidade descartável** O adversário registra uma ou mais contas de e-mail em provedores gratuitos (Gmail, Outlook, ProtonMail, Tutanota) usando dados fictícios ou VPNs/Tor para ocultar o IP real. Serviços de e-mail temporário (Guerrilla Mail, Temp Mail) também são usados para válidações rápidas. **2. Construção de persona** A conta é usada para criar perfis em [[t1585-001-social-media-accounts|redes sociais]], preencher histórico de atividade, assinar newsletters legítimas e participar de fóruns - tudo para aumentar a credibilidade da identidade perante filtros anti-spam e o alvo humano. **3. Weaponização e lançamento** A conta está pronta para enviar e-mails de [[t1566-phishing|Phishing]], coletar credenciais via formulários falsos ([[t1598-phishing-for-information|Phishing for Information]]) ou registrar infraestrutura adicional. Em campanhas LATAM, frequentemente se impersona bancos brasileiros (Itaú, Bradesco, Nubank) ou o governo federal (Receita Federal, ANAC). --- ## Detecção ### Event IDs relevantes | Plataforma | Event ID | Descrição | |------------|----------|-----------| | Microsoft 365 | `MailItemsAccessed` (Unified Audit Log) | Acesso a itens de e-mail por IP/UA suspeito | | Exchange On-Prem | `Event ID 1030` (MSExchange Transport) | Mensagem rejeitada por reputação do remetente | | Google Workspace | Admin Reports API - `login` events | Login de conta recém-criada em IP anônimo | | Proxy/Firewall | Qualquer | Requisições POST a provedores de e-mail gratuito em horário incomum | ### Sigma Rule - Conta de E-mail Nova em Fluxo de Phishing ```yaml title: Newly Registered Free Email Account Used for Phishing id: a3f81c2e-9b4d-4e77-a8cd-1234567890ab status: experimental description: > Detecta e-mails recebidos de provedores gratuitos com domínios registrados recentemente, combinado com conteúdo de isca (links, anexos). author: RunkIntel CTI daté: 2026-03-24 logsource: category: email product: exchange detection: selection_provider: SenderDomain|endswith: - '@gmail.com' - '@outlook.com' - '@protonmail.com' - '@tutanota.com' - '@guerrillamail.com' selection_indicators: AttachmentCount|gte: 1 # OU BodyContains|contains: - 'clique aqui' - 'acesse agora' - 'atualize seus dados' - 'confirme sua identidade' timeframe: 24h condition: selection_provider and selection_indicators falsepositives: - Comúnicações legítimas de parceiros que usam Gmail/Outlook pessoal level: medium tags: - attack.resource_development - attack.t1585.002 ``` --- ## Mitigação | ID | Controle | Ação Recomendada para Organizações Brasileiras | |----|----------|-----------------------------------------------| | [[m1056-pre-compromise\|M1056]] | Pré-comprometimento | Não há mitigação técnica direta; foco em detecção e treinamento | | - | Políticas de e-mail (SPF/DKIM/DMARC) | Configurar DMARC com política `reject` para domínios próprios; reduz impersonação | | - | Treinamento de usuários | Simulações de phishing trimestrais; usuários do setor financeiro e governo são alvos prioritários no Brasil | | - | Reputação de remetente | Configurar filtros de spam para marcar e-mails de provedores gratuitos enviados em massa ou com domínio novo (< 30 dias) | | - | MFA em contas corporativas | MFA obrigatório em Exchange, M365 e Google Workspace para reduzir impacto de credenciais comprometidas via phishing | --- ## Threat Actors que Usam | Grupo | Contexto | |-------|----------| | [[g0094-kimsuky\|Kimsuky]] | APT norte-coreano usa contas Gmail descartáveis em campanhas de spearphishing contra pesquisadores de política externa, incluindo alvos no Brasil | | [[g0122-silent-librarian\|Silent Librarian]] | Iraniano; especializado em contas de e-mail imitando universidades - relevante para IES brasileiras (USP, UNICAMP, UFRJ) | | [[g1051-medusa-ransomware\|Medusa Group]] | Grupo de ransomware que usa e-mails de suporte falso para acesso inicial a empresas brasileiras | | [[g1033-star-blizzard\|Star Blizzard]] | APT russo (FSB) usa contas descartáveis para spearphishing de think tanks e jornalistas, incluindo LATAM | | [[g1044-apt42\|APT42]] | Inteligência iraniana (IRGC); usa e-mails de convite falso para conferências em ataques direcionados | | [[g0059-magic-hound\|Magic Hound]] | Iraniano; campanhas de phishing massivas contra setores de energia e governo | | [[g0129-mustang-panda\|Mustang Panda]] | APT chinês que usa e-mails com iscas diplomáticas em campanhas contra América Latina | | [[g0065-leviathan\|Leviathan]] | APT chinês (TEMP.Periscope); foco em alvos de defesa e marinha - relevante para o contexto do BRICS | | [[g1036-moonstone-sleet\|Moonstone Sleet]] | APT norte-coreano focado em TI e blockchain; usa e-mails de recrutamento falso | | [[g1012-curium\|CURIUM]] | Iraniano; usa contas de e-mail em campanhas de longa duração contra telecomúnicações | --- *Fonte: [MITRE ATT&CK - T1585.002](https://attack.mitre.org/techniques/T1585/002)*