# T1585 - Establish Accounts ## Descrição Adversários criam e cultivam contas em serviços digitais para construir personas operacionais que sustentarão campanhas de ataque. Diferentemente de [[t1586-compromise-accounts|T1586 - Compromise Accounts]] (tomar controle de contas existentes), esta técnica envolve a criação planejada de novas identidades - ficcionais ou imitando pessoas reais - que ganharão credibilidade ao longo do tempo antes de serem ativadas em operações. O desenvolvimento de persona (**persona development**) é um processo deliberado: inclui preenchimento cuidadoso de perfis com histórico verossímil, criação de redes de contatos, postagens regulares para simular atividade orgânica, e incorporação de fotos e afiliações convincentes. Contas de e-mail criadas via esta técnica são diretamente utilizadas para [[t1566-phishing|Phishing]] e [[t1598-phishing-for-information|Phishing for Information]]. O registro em plataformas cloud permite abusar de créditos gratuitos para [[t1583-acquire-infrastructure|Acquire Infrastructure]] adicional. No contexto **Brasil/LATAM**, [[g1052-contagious-interview|Contagious Interview]] (operação associada ao [[g0094-kimsuky|Kimsuky]] / Lazarus Group norte-coreano) cria perfis falsos de recrutadores em plataformas como LinkedIn, Glassdoor e portais de emprego brasileiros (Catho, InfoJobs, Vagas.com) para atrair desenvolvedores de software com ofertas de emprego falsas - entregando pacotes npm maliciosos durante simulações de "entrevista técnica". [[g0117-fox-kitten|Fox Kitten]] (APT iraniano) estabelece contas em fóruns especializados de TI e LinkedIn para se aproximar de profissionais de infraestrutura crítica de países-alvo, incluindo empresas de energia e telecomúnicações no Brasil. [[g0025-apt17|APT17]] (China) utilizou contas fictícias em fóruns de segurança e GitHub para disseminar ferramentas maliciosas disfarçadas de utilidades legítimas. > [!warning] Relevância para o Brasil > O LinkedIn é o vetor preferido de grupos APT para engenharia social no Brasil: perfis falsos de headhunters, CTOs e analistas de segurança de grandes empresas são usados para abordar alvos de alto valor em setores de defesa, energia, finanças e governo. O ecossistema de freelancers brasileiros em plataformas como Workana e 99Freelas também é explorado com perfis falsos de contratantes. --- ## Attack Flow ```mermaid graph TB A([Adversário]) --> B[Definição de<br/>Persona Alvo] B --> C{T1585\nEstablish\nAccounts}:::highlight C --> D[Contas de<br/>E-mail Novas] C --> E[Perfis em<br/>Redes Sociais] C --> F[Contas<br/>Cloud / Dev] D --> GPhishing /\nBEC Direto] E --> H[Engenharia<br/>Social / Scam] F --> I>infrastructure] G --> J([Vítima<br/>Final Atingida]) H --> J I --> J classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b ``` --- ## Como Funciona **Passo 1 - Criação e configuração das contas** O adversário registra contas em plataformas relevantes para o perfil da vítima-alvo: LinkedIn, GitHub, Slack, Discord, Telegram, plataformas de e-mail (Gmail, Outlook, ProtonMail) e serviços de nuvem (AWS, GCP, Azure). Contas de e-mail com domínios personalizados são preferidas para ataques corporativos (ex.: `recrutamento@techtalent-brasil[.]com`). Em ataques a desenvolvedores, contas no GitHub e npm são criadas com histórico de commits fabricados para simular legitimidade técnica. **Passo 2 - Desenvolvimento e maturação da persona** As contas recebem investimento de tempo e detalhes para se tornarem críveis: foto de perfil (muitas vezes gerada por IA), histórico de emprego verossímil, postagens regulares sobre tópicos relevantes ao setor-alvo, conexões com perfis reais do setor e interações orgânicas (curtidas, comentários). Quanto mais tempo a persona existe e mais ativa ela parece, maior a taxa de sucesso nas abordagens. Alguns grupos mantêm personas por meses antes de ativá-las operacionalmente. **Passo 3 - Ativação operacional** A persona madura é ativada para o objetivo final: abordagem de alvos no LinkedIn com propostas de emprego falsas (Contagious Interview), envio de e-mails de phishing a partir de domínios de aparência legítima, participação em grupos fechados do setor para coletar inteligência ou disseminar links maliciosos, ou uso das contas cloud para hospedar infraestrutura de ataque sem custo inicial. A persona pode também ser usada para [[t1598-phishing-for-information|Phishing for Information]] - coletando informações sobre a organização-alvo sob pretextos profissionais. --- ## Detecção > [!info] Fontes de Dados > T1585 ocorre em plataformas externas, portanto a detecção direta pela organização-alvo é limitada. O foco deve ser em indicadores comportamentais de contatos não solicitados e análise de perfis suspeitos. **Event IDs relevantes (contexto pós-contato inicial):** | Event ID | Fonte | Contexto | |----------|-------|---------| | `4688` | Windows Security | Processo criado por usuário que clicou em link de phishing enviado pela persona | | `3` | Sysmon | Conexão de rede após download de arquivo entregue pela persona falsa | | `11` | Sysmon | Arquivo criado - payload entregue via simulação de "teste técnico" | | `7045` | Windows System | Novo serviço instalado - implante pós-infecção via conta falsa de recrutador | **Sigma Rule - Execução de arquivo recebido via plataforma de comúnicação:** ```yaml title: Suspicious File Execution from Download or Messaging Platform id: c3e7f9a2-4b1d-4e8f-a9c6-5d2b4e6f8c1a status: experimental description: > Detecta execução de processos a partir de diretórios de download ou armazenamento de mensagens, padrão de ataques via persona falsa que entrega payloads disfarçados de testes técnicos ou documentos de RH. references: - https://attack.mitre.org/techniques/T1585/ author: RunkIntel daté: 2026-03-24 tags: - attack.resource_development - attack.t1585 - attack.initial_access logsource: category: process_creation product: windows detection: selection: EventID: 4688 NewProcessName|contains: - '\Downloads\' - '\AppData\Local\Temp\' - '\AppData\Roaming\Slack\Downloads\' - '\AppData\Roaming\Discord\downloads\' NewProcessName|endswith: - '.exe' - '.msi' - '.bat' - '.ps1' - '.js' - '.vbs' filter_known_installers: NewProcessName|contains: - 'Teams' - 'Zoom' - 'Chrome' - 'Firefox' condition: selection and not filter_known_installers falsepositives: - Instalação legítima de software baixado pelo usuário - Ferramentas de desenvolvimento baixadas pelo time de TI level: medium ``` --- ## Mitigação | ID | Mitigação | Implementação para Organizações Brasileiras | |----|-----------|---------------------------------------------| | [[m1056-pre-compromise\|M1056]] | Pre-Compromise | Treinar equipes de RH e gestores para verificar a autenticidade de perfis de recrutadores antes de aceitar conexões ou abrir arquivos enviados por desconhecidos | | - | Security Awareness | Implementar programa de conscientização focado em ataques de engenharia social via LinkedIn e WhatsApp - cobrir cenários de "ofertas de emprego" e solicitações de informação por contatos novos | | - | OSINT Defensivo | Monitorar plataformas sociais em busca de perfis que imitem executivos, líderes técnicos ou o nome da empresa - solicitar remoção de contas impersonadoras | | - | Endpoint Protection | Bloquear execução de arquivos baixados de plataformas de mensagem (Telegram, Discord, Slack) sem revisão prévia - configurar AppLocker ou políticas equivalentes | | - | Email Gateway | Filtrar e-mails de domínios registrados recentemente ou com baixa reputação - especialmente aqueles que imitam headhunters, RH ou consultorias de TI | | - | Processo de Recrutamento | Estabelecer canal oficial de candidaturas e treinar colaboradores a não abrir anexos ou executar código recebido de candidatos externos sem válidação do time de TI | --- ## Threat Actors e Software ### Grupos que utilizam T1585 [[g1052-contagious-interview|Contagious Interview]] é a operação mais documentada utilizando T1585 no contexto de tecnologia: cria perfis falsos de recrutadores em LinkedIn e plataformas de emprego para atrair desenvolvedores de software com ofertas de emprego fictícias. A "entrevista" inclui um teste técnico que solicita a execução de pacotes npm ou repositórios GitHub maliciosos - entregando o implante BeaverTail ou InvisibleFerret. Alvos incluem desenvolvedores brasileiros de criptomoedas e Web3. [[g0094-kimsuky|Kimsuky]] (APT norte-coreano) utiliza personas em redes sociais e e-mail para campanhas de spear-phishing altamente personalizadas contra pesquisadores, jornalistas, acadêmicos e funcionários de governo em países de interesse estratégico - incluindo Brasil e Argentina por conta de relações diplomáticas com a Coreia do Norte. [[g0117-fox-kitten|Fox Kitten]] (APT iraniano, também conhecido como Pioneer Kitten) estabelece contas profissionais críveis em LinkedIn para mapear e abordar administradores de sistemas e engenheiros de infraestrutura em empresas de energia, petróleo e gás e telecomúnicações - setores estratégicos presentes no Brasil (Petrobras, Embraer, Anatel). [[g1003-ember-bear|Ember Bear]] (UAC-0056) usa contas em plataformas de comúnicação e desenvolvimento para distribuir ferramentas de acesso remoto disfarçadas de software legítimo, especialmente em contextos de conflito geopolítico onde narrativas falsas têm maior receptividade. [[g0025-apt17|APT17]] (China/Wicked Panda) criou contas fictícias em fóruns de segurança e plataformas de desenvolvimento para disseminar ferramentas backdoored e coletar inteligência sobre pesquisadores e profissionais de segurança - tática de interesse para empresas brasileiras de tecnologia com projetos internacionais. ### Técnicas relacionadas - [[t1586-compromise-accounts|T1586 - Compromise Accounts]] - alternativa ao estabelecimento de novas contas - [[t1598-phishing-for-information|T1598 - Phishing for Information]] - uso das personas para coleta de intel - [[t1566-phishing|T1566 - Phishing]] - uso das contas criadas para entregar payloads - [[t1583-acquire-infrastructure|T1583 - Acquire Infrastructure]] - contas cloud abusam de trial periods para aquisição de infraestrutura - [[t1204-user-execution|T1204 - User Execution]] - vítima executa payload entregue via engenharia social pela persona --- ## Sub-técnicas - [[t1585-001-social-media-accounts|T1585.001 - Social Media Accounts]] - [[t1585-002-email-accounts|T1585.002 - Email Accounts]] - [[t1585-003-cloud-accounts|T1585.003 - Cloud Accounts]]