# T1608.004 - Drive-by Target ## Técnica Pai Esta é uma sub-técnica de [[t1608-stage-capabilities|T1608 - T1608 - Stage Capabilities]]. ## Descrição **Drive-by Target** é uma sub-técnica da fase de [[t1608-stage-capabilities|Stage Capabilities]] na qual o adversário **prepara ativamente a infraestrutura web** para infectar vítimas que simplesmente navegam por um site controlado ou comprometido - sem exigir nenhuma interação adicional além de carregar a página. Na prática, o atacante transforma sites legítimos (ou domínios registrados por ele mesmo) em "armadilhas digitais": injeta scripts maliciosos, hospeda exploits de navegador, ou exibe anúncios fraudulentos que redirecionam para payloads. O processo culmina na técnica [[t1189-drive-by-compromise|Drive-by Compromise]], que efetivamente compromete o endpoint da vítima. > **Contexto Brasil / LATAM:** Grupos como [[g0050-apt32|APT32]] (OceanLotus) utilizam watering holes direcionados a organizações governamentais e de infraestrutura crítica na região. No Brasil, ataques desse tipo têm mirado portais de órgãos públicos, sites de associações setoriais e fóruns voltados a profissionais de TI e finanças. A técnica de malvertising é especialmente prevalente em plataformas de anúncios com menor rigor de moderação, amplamente usadas no ecossistema digital latino-americano. O [[g0046-fin7|FIN7]] já operou campanhas de watering hole contra redes de varejo e hotelaria no Brasil como precursor de ataques financeiros. > [!warning] Pré-comprometimento silencioso > Toda a preparação ocorre **antes** do contato com a vítima. Não há binário entregue diretamente - o payload é carregado pelo próprio navegador da vítima ao visitar o site comprometido. --- ## Attack Flow ```mermaid graph TB A([Adversário]) --> B[Adquire Infraestrutura<br/>T1583 / T1584] B --> C[Injeta conteúdo malicioso<br/>ou registra domínio isca] C --> D{Tipo de staging} D --> E[Script JS<br/>em página legítima] D --> F[Malvertising<br/>T1583.008] D --> G[Cloud bucket<br/>writável] E --> H([Drive-by Target<br/>T1608.004]) F --> H G --> H H:::active --> I([Drive-by Compromise<br/>T1189]) I --> J([Execução no endpoint<br/>da vítima]) classDef active fill:#e74c3c,color:#fff,stroke:#c0392b ``` --- ## Como Funciona ### Passo 1 - Seleção e preparo do site isca O adversário identifica um site visitado regularmente pelo público-alvo (watering hole) - por exemplo, um portal de associação setorial ou fórum técnico. O site pode ser comprometido via [[t1584-compromise-infrastructure|Compromise Infrastructure]] ou o atacante pode registrar um domínio visualmente semelhante ([[t1583-001-domains|Domains]] com homóglifo/typosquatting). Em seguida, injeta código malicioso (geralmente [[t1059-007-javascript|JavaScript]]) nas páginas mais visitadas. ### Passo 2 - Staging do exploit ou redirecionamento O script injetado detecta características do navegador da vítima - versão, plugins, sistema operacional - para confirmar a vulnerabilidade antes de entregar o exploit (técnica de *fingerprinting* alinhada a [[t1592-gather-victim-host-information|Gather Victim Host Information]]). Se elegível, o navegador é redirecionado para um servidor de exploit hospedado em infraestrutura adicional controlada pelo atacante, frequentemente em [[t1583-acquire-infrastructure|nuvem pública]] para dificultar o bloqueio por IP. ### Passo 3 - Entrega e execução do payload Ao carregar a página de exploit, o navegador executa o código malicioso que instala um implante, dropa um [[t1105-ingress-tool-transfer|loader]] ou estabelece acesso persistente. Todo o fluxo ocorre **sem clique adicional do usuário** - apenas a visita ao site é suficiente. --- ## Detecção > [!info] Limitação de visibilidade > Esta técnica ocorre no lado do adversário (infraestrutura externa). A detecção direta é difícil; o foco deve ser em **anomalias de navegação** e **comportamento pós-comprometimento** no endpoint. ### Event IDs relevantes (Windows) | Event ID | Fonte | Descrição | |----------|-------|-----------| | 4688 | Security | Criação de processo filho a partir do navegador (ex: `chrome.exe → wscript.exe`) | | 1 | Sysmon | Process Creaté - detectar spawns anômalos de `iexplore.exe`, `firefox.exe`, `msedge.exe` | | 3 | Sysmon | Network Connection - conexão de saída do processo do navegador para IP externo incomum | | 7 | Sysmon | Image Loaded - DLL carregada por processo do navegador de path suspeito | | 22 | Sysmon | DNS Query - domínio com baixo histórico de acesso resolvido pelo navegador | ### Sigma Rule - Spawn de processo filho anômalo a partir de navegador ```yaml title: Drive-by Compromise - Processo filho suspeito de navegador id: d4a1f3e2-9b8c-4f71-ae30-1c2d5e6b7890 status: experimental description: > Detecta criação de processo filho de alto risco a partir de navegadores web, padrão indicativo de exploração drive-by (T1608.004 / T1189). author: RunkIntel daté: 2026-03-24 references: - https://attack.mitre.org/techniques/T1608/004 logsource: category: process_creation product: windows detection: selection: ParentImage|endswith: - '\chrome.exe' - '\firefox.exe' - '\msedge.exe' - '\iexplore.exe' - '\opera.exe' Image|endswith: - '\cmd.exe' - '\powershell.exe' - '\wscript.exe' - '\cscript.exe' - '\mshta.exe' - '\rundll32.exe' - '\regsvr32.exe' condition: selection falsepositives: - Extensões legítimas de navegador que invocam scripts (raro) - Ferramentas de desenvolvimento web em ambientes de dev level: high tags: - attack.resource-development - attack.t1608.004 - attack.initial-access - attack.t1189 ``` --- ## Mitigação | Controle | Descrição | Aplicabilidade Brasil | |----------|-----------|----------------------| | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Dificultar o staging antes do ataque; monitorar domínios semelhantes via threat intelligence | Relevante para times de TI de órgãos públicos e bancos | | Atualização de navegadores e plugins | Manter Chrome, Firefox e Edge na última versão elimina a superfície de exploits conhecidos | Crítico - ambientes corporativos BR frequentemente defasados | | Web Proxy com filtragem de categorias | Bloquear categorias suspeitas e inspecionar tráfego TLS com MITM proxy corporativo | Padrão em grandes bancos e empresas de telecomúnicações | | Isolamento de navegador (Browser Isolation) | Executar sessões web em sandbox isolada; mesmo que comprometido, o host permanece protegido | Adotado progressivamente por fintechs e seguradoras | | Bloquear anúncios e scripts de terceiros | Uso de filtros DNS (ex: Pi-hole) e extensões de bloqueio para reduzir superfície de malvertising | Recomendado para usuários finais e ambientes BYOD | | Threat Intelligence de domínios | Monitorar domínios tipossimilares ao da organização via feeds como [[sources\|CISA]] e [[sources\|CERT.br]] | Fundamental para governo e infraestrutura crítica | --- ## Threat Actors e Software Associados Os grupos a seguir utilizam ativamente Drive-by Target como fase de preparação de campanhas: | Ator | Contexto LATAM / Brasil | |------|------------------------| | [[g0050-apt32\|APT32]] (OceanLotus) | Comprometeu sites de associações governamentais para atingir alvos no Brasil e LATAM | | [[g0046-fin7\|FIN7]] | Operou watering holes em portais de varejo e hotelaria; ativo financeiramente no Brasil | | [[g0035-dragonfly\|Dragonfly]] | Focado em setor de energia; watering holes em portais de fornecedores de infraestrutura crítica | | [[g0134-transparent-tribe\|Transparent Tribe]] | Usa páginas de phishing e watering holes para espionagem contra governo | | [[g1014-luminousmoth\|LuminousMoth]] | Campanhas regionais com watering holes em sites governamentais do Sudeste Asiático | | [[g1020-mustard-tempest\|Mustard Tempest]] | Distribuição de malware via malvertising em larga escala (inclui EkBot/SocGholish) | | [[g1012-curium\|CURIUM]] | Operações de espionagem com staging via sites comprometidos | | [[g0027-threat-group-3390\|Threat Group-3390]] | Watering holes em portais de governo e defesa | **Técnicas relacionadas:** [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]], [[t1583-acquire-infrastructure|T1583 - Acquire Infrastructure]], [[t1584-compromise-infrastructure|T1584 - Compromise Infrastructure]], [[t1592-gather-victim-host-information|T1592 - Gather Victim Host Information]], [[t1608-stage-capabilities|T1608 - Stage Capabilities]] --- *Fonte: [MITRE ATT&CK - T1608.004](https://attack.mitre.org/techniques/T1608/004)*