# T1586.001 - Social Media Accounts ## Descrição **T1586.001 - Compromise Accounts: Social Media Accounts** é uma sub-técnica da fase de [[resource-development|Resource Development]] do [[mitre-attack|MITRE ATT&CK]]. Nela, adversários **comprometem contas de redes sociais já existentes** - em vez de criar perfis novos - para conduzir operações de engenharia social, [[t1566-phishing|phishing]] direcionado e coleta de informações, aproveitando o histórico de confiança, conexões estabelecidas e credibilidade da persona original. O comprometimento pode ocorrer via [[t1598-phishing-for-information|Phishing for Information]] direcionado ao titular da conta, compra de credenciais em fóruns de crime underground, ataques de força bruta ou *credential stuffing* com bases de dados de vazamentos anteriores. Contas com grande rede de conexões e histórico ativo são os alvos mais valiosos - especialmente perfis no LinkedIn de executivos, pesquisadores de segurança, funcionários de governo e jornalistas. Uma vez comprometida, a conta pode ser usada para estabelecer novos contatos com vítimas-alvo, enviar mensagens diretas com conteúdo malicioso ([[t1566-003-spearphishing-via-service|Spearphishing via Service]]), coletar inteligência sobre a organização-alvo ou como ponto de partida para comprometer a rede de conexões do titular original. O adversário pode também enriquecer o perfil comprometido com fotos e posts adicionais para aumentar sua verossimilhança antes de utilizá-lo. > **Contexto Brasil/LATAM:** O Brasil é historicamente um dos países com maior número de usuários de redes sociais per capita, combinado com altas taxas de vazamento de credenciais circulando em fóruns como BreachForums e Telegram. Grupos como [[g0034-sandworm|Sandworm Team]] e [[g0065-leviathan|Leviathan]] têm histórico documentado de uso desta técnica contra alvos governamentais e de infraestrutura crítica. No contexto nacional, contas comprometidas no LinkedIn são vetores frequentes de abordagem de funcionários de bancos, Petrobras, Embraer e órgãos do governo federal - muitas vezes se passando por recrutadores ou parceiros comerciais para extrair informações sensíveis ou entregar [[t1587-001-malware|malware]] via anexos de "proposta de emprego". **Técnica pai:** [[t1586-compromise-accounts|T1586 - Compromise Accounts]] --- ## Attack Flow ```mermaid graph TB A([Adversário]) --> B[Identificar conta<br/>de alto valor] B --> C{Método de\nComprometimento} C -->|Phishing / SIM Swap| D[Capturar credenciais<br/>do titular] C -->|Credential Stuffing| E[Reutilizar dados<br/>de vazamentos] C -->|Compra underground| F[Adquirir acesso<br/>pré-comprometido] D --> G(["T1586.001<br/>💀 Conta Comprometida"]):::highlight E --> G F --> G G --> H[Expandir rede<br/>de conexões] H --> I[Spearphishing<br/>via DM / Mensagem] H --> J[Coleta de<br/>Informações OSINT] I --> K([Vítima engajada<br/>na campanha]) classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b,font-weight:bold ``` --- ## Como Funciona **Passo 1 - Seleção e Comprometimento da Conta** O adversário realiza reconhecimento em plataformas como LinkedIn, Twitter/X, Facebook e Instagram para identificar contas com alta credibilidade e conexões relevantes ao alvo - executivos, analistas de segurança, funcionários de governo ou jornalistas. Com o alvo identificado, o comprometimento é realizado via [[t1598-phishing-for-information|phishing de credenciais]] personalizado (e-mail falso de "acesso não autorizado detectado"), *credential stuffing* usando bases de dados de vazamentos públicos, ou simplesmente comprando o acesso em marketplaces underground onde credenciais de redes sociais são comercializadas. **Passo 2 - Consolidação do Acesso e Preparação** Após obter acesso, o adversário verifica se a conta possui autenticação multifator e, se possível, desativa ou contorna. O perfil pode ser enriquecido com posts, fotos e interações para aumentar a aparência de atividade legítima. O adversário mapeia as conexões existentes da conta para identificar os contatos mais valiosos ao objetivo da operação - geralmente pessoas com acesso privilegiado ao alvo final. **Passo 3 - Exploração Operacional** A conta comprometida é utilizada para enviar mensagens diretas às conexões da vítima com pretextos críveis ([[t1566-003-spearphishing-via-service|spearphishing via DM]]), encaminhar links maliciosos ou arquivos disfarçados de documentos legítimos (propostas, contratos, relatórios), ou simplesmente conduzir conversas de engenharia social para coletar informações sobre a organização-alvo. O adversário frequentemente opera a conta comprometida em paralelo com a persona real - monitorando respostas e adaptando o discurso - para maximizar o tempo de vida operacional antes de ser detectado. --- ## Detecção ### Event IDs / Fontes de Detecção | Fonte | Indicador | Descrição | |-------|-----------|-----------| | IdP / SSO Logs | Login de novo dispositivo/IP | Acesso à conta de redes sociais corporativas (LinkedIn, Slack) de localização geográfica atípica | | Email Gateway | Alerta de redefinição de senha | E-mails de recuperação de conta de plataformas sociais recebidos por funcionários | | Proxy/CASB | User-Agent e comportamento anômalo | Sessão de rede social com padrão de navegação automatizado (scraping de conexões, envio em massa de DMs) | | Threat Intelligence | IOC feeds de contas comprometidas | Contas mencionadas em reports de phishing ou listas de perfis abusivos (Twitter Trust & Safety, LinkedIn Trust) | | Usuário | Relato de atividade não reconhecida | Funcionários reportando mensagens enviadas em seu nome ou conexões feitas sem seu conhecimento | ### Regra Sigma - Suspicious Social Media Login from New Location ```yaml title: Suspicious Corporaté Social Media Account Login from Anomalous Location id: c9d4f152-8e6b-4a2c-b1d7-e3f5a9c6d2e8 status: experimental description: > Detecta autenticação em contas de redes sociais corporativas (LinkedIn, Twitter) vinculadas ao SSO corporativo a partir de IPs ou localizações geográficas não previamente observadas, indicando possível comprometimento de conta (T1586.001). author: RunkIntel daté: 2026-03-24 tags: - attack.resource_development - attack.t1586.001 logsource: product: okta service: system_log detection: selection: eventType: user.session.start target.displayName|contains: - 'LinkedIn' - 'Twitter' - 'Facebook' filter_known_ips: client.ipAddress|cidr: - '200.xxx.0.0/16' # ranges corporativos - ajustar ao ambiente filter_known_countries: client.geographicalContext.country: 'Brazil' condition: selection and not (filter_known_ips or filter_known_countries) falsepositives: - Colaboradores em viagem internacional - Acesso legítimo via VPN de outros países level: high fields: - actor.displayName - actor.alternateId - client.ipAddress - client.geographicalContext.country - client.userAgent.rawUserAgent ``` --- ## Mitigação | Controle | Descrição | Aplicação para Organizações Brasileiras | |----------|-----------|----------------------------------------| | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Monitorar menções de contas corporativas em fóruns de vazamento e marketplaces de acesso | Usar serviços de dark web monitoring (Flare.io, SpyCloud, Have I Been Pwned Enterprise) integrados a alertas para o SOC | | MFA em Todas as Contas Sociais | Habilitar autenticação em dois fatores (preferêncialmente app TOTP, não SMS) em perfis LinkedIn, Twitter/X, Facebook corporativos | Treinamento obrigatório de conscientização para C-level e equipes de comunicação - os perfis mais visados no LATAM | | Política de Senha Única | Proibir reutilização de senha entre contas corporativas e pessoais/sociais | Integrar com gerenciadores de senha corporativos (1Password, Bitwarden for Business) e monitorar via IdP | | Treinamento de Engenharia Social | Simulações regulares de phishing via LinkedIn DM e e-mail de recuperação de conta | Foco em setores financeiro e governo - os mais visados por [[g0034-sandworm\|Sandworm Team]] e [[g0065-leviathan\|Leviathan]] no Brasil | | Monitoramento de Contas Corporativas | Alertas automáticos para logins de novos dispositivos/localizações em contas vinculadas ao domínio corporativo | Integrar LinkedIn Account Center e Twitter Safety Center com SIEM via webhooks ou APIs | | Inventário de Identidades Digitais | Manter cadastro atualizado de todos os perfis corporativos em redes sociais, incluindo contas de ex-funcionários | Processo de offboarding deve incluir remoção de acesso e recomendação de troca de senha em contas pessoais que tiveram acesso corporativo | --- ## Threat Actors que Usam | Grupo | Origem | Uso Documentado | |-------|--------|-----------------| | [[g0034-sandworm\|Sandworm Team]] | Rússia (GRU) | Comprometimento de contas de jornalistas e pesquisadores para coletar inteligência e distribuir desinformação; operações documentadas contra infraestrutura crítica com etapa de reconhecimento via redes sociais | | [[g0065-leviathan\|Leviathan]] | China (APT40) | Uso de contas LinkedIn comprometidas para abordagem de alvos nos setores marítimo, defesa e governo; perfis de recrutadores falsos ou comprometidos usados para entregar documentos maliciosos a pesquisadores e engenheiros | > **Contexto LATAM:** Operações de grupos de influência e espionagem com nexo regional fazem uso extensivo de contas comprometidas no Facebook e Instagram para disseminar desinformação e [[t1566-phishing|phishing]] direcionado ao eleitorado brasileiro - padrão documentado pelo TSE e por pesquisadores do [[sources|CERT.br]] durante ciclos eleitorais. --- *Fonte: [MITRE ATT&CK - T1586.001](https://attack.mitre.org/techniques/T1586/001)*