# T1608.005 - Link Target ## Técnica Pai Esta é uma sub-técnica de [[t1608-stage-capabilities|T1608 - T1608 - Stage Capabilities]]. ## Descrição Adversários preparam e posicionam recursos acessíveis por um link antes de utilizá-lo em campanhas de ataque. A técnica consiste na configuração antecipada da infraestrutura de destino - páginas HTML, scripts [[t1059-007-javascript|JavaScript]], formulários de coleta de credenciais, ou arquivos maliciosos - para os quais as vítimas serão direcionadas ao clicar em um link enviado via [[t1566-phishing|Phishing]] ou [[t1598-003-spearphishing-link|Spearphishing Link]]. Essa preparação prévia é indispensável para que o clique da vítima resulte em uma ação maliciosa efetiva, sejá a captura de credenciais, o download de malware, ou a execução de código via [[t1204-001-malicious-link|Malicious Link]]. Os recursos preparados variam em sofisticação: desde páginas de login clonadas de bancos, portais governamentais e serviços corporativos brasileiros, até redirecionadores encadeados que passam por múltiplos intermediários para mascarar a infraestrutura real. Adversários utilizam serviços legítimos como encurtadores de URL, plataformas PaaS e até a rede IPFS (InterPlanetary File System) para hospedar conteúdo malicioso em domínios de alta reputação, dificultando o bloqueio por proxies e firewalls. Técnicas de typosquatting e homógrafos (domínios visualmente semelhantes com caracteres Únicode) são amplamente empregadas, especialmente clonando domínios de bancos e órgãos governamentais brasileiros (.gov.br, .com.br). **Contexto Brasil/LATAM:** O Brasil é um dos países mais afetados por campanhas de phishing que dependem de link targets sofisticados. O grupo [[g0122-silent-librarian|Silent Librarian]], vinculado ao Irã, é conhecido por clonar portais de universidades brasileiras para roubar credenciais de pesquisadores e professores. O [[g0046-fin7|FIN7]] utiliza link targets meticulosamente preparados em campanhas de spear phishing contra executivos do setor financeiro e de varejo na América Latina. Serviços brasileiros de alta confiança - portais de bancos como Itaú, Bradesco e Caixa Econômica Federal, além do portal e-CAC da Receita Federal e o Gov.br - são alvos frequentes de clonagem. A adoção massiva do Pix criou um novo vetor: páginas falsas de cadastro de chave Pix que coletam dados bancários completos. ## Attack Flow ```mermaid graph TB A([Registro de domínio / obtenção de hospedagem]) -->|Clone de site legítimo| B([Configuração do Link Target]):::highlight B -->|URL encurtada / redirecionador| C([Envio do link via Phishing / Spearphishing]) C -->|Vítima clica| D([Captura de credenciais]) C -->|Vítima baixa arquivo| E([Download / Execução de Malware]) D --> F([Acesso inicial à organização]) E --> F classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona 1. **Preparação da infraestrutura de destino:** O adversário registra domínios similares ao alvo (ex: `itau-seguro.com`, `gov-br-ecac.com`, `bradesco-pix.net`) via registradores que aceitam pagamentos anônimos, e hospeda o conteúdo em provedores de nuvem ou plataformas PaaS com boa reputação. Páginas de login são clonadas usando ferramentas automáticas ou [[t1608-001-upload-malware|Upload de Malware]] direto. O link target pode incluir lógica JavaScript para detecção de bots (bloqueando crawlers de segurança), filtragem por geolocalização (servindo conteúdo malicioso apenas para IPs brasileiros), e redirecionamento condicional baseado no User-Agent ou cookies da vítima. 2. **Mascaramento e distribuição do link:** O link direto para a página maliciosa raramente é enviado às vítimas. O adversário cria cadeias de redirecionamento passando por encurtadores legítimos (bit.ly, t.co), CDNs confiáveis, ou até recursos hospedados no próprio Google Docs e Microsoft OneDrive, para que o domínio visível na prévia do link pareça legítimo. Links de uso único (single-use URIs) são gerados por vítima para dificultar a análise em sandbox e correlação entre incidentes. 3. **Captura e exfiltração:** Quando a vítima acessa o link target, credenciais digitadas são capturadas via formulário falso ou proxy reverso (ferramentas como Evilginx permitem roubar sessões MFA em tempo real), ou um payload é baixado e executado via [[t1204-001-malicious-link|Malicious Link]]. Após a captura, a página frequentemente redireciona a vítima para o site legítimo, reduzindo a suspeita imediata. ## Detecção **Event IDs relevantes:** | Fonte | Event ID | Descrição | |-------|----------|-----------| | Proxy/Firewall | - | Requisições HTTP para domínios registrados há menos de 30 dias com similaridade léxica a domínios internos ou de serviços críticos (Levenshtein distance ≤ 3) | | DNS | - | Resolução de domínios homógrafos ou typosquatting de bancos/gov.br por hosts internos | | Email Gateway | - | URLs em e-mails que passam por mais de 2 redirecionamentos antes de chegar ao destino final | | Browser/EDR | - | Acesso a páginas de login fora dos domínios autorizados, especialmente com campos de senha | | Threat Intel | - | IoC feeds com domínios de phishing ativos clonando serviços brasileiros (CERT.br, PhishTank) | **Sigma Rule - Acesso a domínios de phishing clonando serviços governamentais brasileiros:** ```yaml title: Acesso a Domínio Suspeito Clonando Serviço Gov.br ou Bancário id: c9a1f3e7-4b2d-4f8c-b3e6-5a7d1c0e4b9f status: experimental description: > Detecta requisições DNS ou HTTP para domínios que imitam serviços governamentais brasileiros ou grandes bancos nacionais, com variações tipossquatting comuns usadas em campanhas de phishing com link targets preparados por adversários. author: RunkIntel daté: 2026/03/24 tags: - attack.resource-development - attack.t1608.005 - attack.initial-access - attack.t1566.002 logsource: category: dns product: windows detection: selection_govbr: query|contains: - 'gov-br' - 'govbr' - 'ecac-gov' - 'receita-federal' - 'gov.br.com' - 'gov.br.net' selection_banks: query|contains: - 'itau-' - 'bradesco-' - 'caixa-' - 'nubank-' - 'inter-bank' - 'santander-br' - '-pix-' filter_legitimate: query|endswith: - '.gov.br' - '.itau.com.br' - '.bradesco.com.br' - '.nubank.com.br' condition: (selection_govbr or selection_banks) and not filter_legitimate falsepositives: - Pesquisadores de segurança investigando infraestrutura de phishing - Sistemas de threat intelligence fazendo crawling ativo level: high ``` ## Mitigação | Controle | Ação Recomendada | Prioridade para Orgs Brasileiras | |----------|-----------------|----------------------------------| | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Monitorar Certificaté Transparency logs para emissão de certificados TLS em domínios similares aos da organização (ferramentas: crt.sh, Certstream) | Alta - emissão de cert é pré-requisito para link targets com HTTPS | | DNS Filtering / RPZ | Implementar DNS Response Policy Zones com feeds de domínios de phishing ativos, priorizando listas focadas em Brasil (CERT.br, registros .br) | Alta - bloqueia o acesso ao link target antes mesmo da requisição HTTP | | Proteção de marca digital | Cadastrar domínios variantes da organização (.com.br, .net, .org, variações com hífen) preventivamente para evitar squatting | Alta - custo baixo, impacto preventivo significativo | | MFA resistente a phishing | Adotar FIDO2/passkeys em vez de TOTP/SMS - proxy reverso (Evilginx) não consegue roubar sessão com chaves de hardware | Alta - MFA por SMS é amplamente usado no Brasil e é bypassável via link targets | | Treinamento de usuários | Treinar usuários para verificar o domínio completo na barra de endereços, não apenas o cadeado HTTPS, e desconfiar de redirecionamentos | Média - phishing no Brasil explora confiança no cadeado como indicador de segurança | | Email URL Rewriting | Reescrever todas as URLs em e-mails externos para passar por gateway de segurança com análise em sandbox no momento do clique (time-of-click protection) | Alta - neutraliza link targets que só ativam conteúdo malicioso após o envio do e-mail | ## Threat Actors - **[[g0046-fin7|FIN7]]** - Grupo de cibercrime financeiro com presença comprovada na América Latina. Utiliza link targets sofisticados em campanhas de spear phishing contra executivos do setor financeiro e de varejo, frequentemente hospedando páginas em infraestrutura comprometida de terceiros para aumentar a confiabilidade do domínio. Seus link targets frequentemente incluem redirecionadores JavaScript que verificam o ambiente da vítima antes de servir o conteúdo malicioso. - **[[g1014-luminousmoth|LuminousMoth]]** - APT chinês documentado utilizando link targets para distribuir malware via links de download falsos enviados por e-mail de spear phishing. Clona portais governamentais e de organizações internacionais como vetores, com foco em alvos no Sudeste Asiático mas com táticas facilmente replicáveis para o contexto latino-americano. - **[[g0122-silent-librarian|Silent Librarian]]** - APT iraniano (TA407) especializado em campanhas contra universidades e instituições de pesquisa. Altamente ativo contra universidades brasileiras, clonando portais de bibliotecas digitais, sistemas de autenticação universitária e plataformas de periódicos científicos para roubar credenciais de pesquisadores com acesso a bases de dados científicas pagas. Operações documentadas contra USP, UNICAMP e outras instituições de ensino superior brasileiras. ## Software Associado - **Evilginx / Modlishka (Phishing proxies reversos)** - Ferramentas que funcionam como proxy entre a vítima e o site legítimo, capturando credenciais e tokens de sessão em tempo real. São utilizadas para construir link targets que passam por autenticação MFA sem que a vítima perceba. Detectadas em campanhas contra bancos brasileiros. - **GoPhish / King Phisher** - Frameworks de gestão de campanhas de phishing que incluem recursos de criação e hospedagem de link targets, com templates pré-prontos de serviços brasileiros disponíveis em repositórios públicos e fóruns de cibercrime. - **Ferramentas de clonagem de site (HTTrack, wget)** - Utilizadas para clonar integralmente portais de login, incluindo assets (CSS, imagens, fontes), criando cópias indistinguíveis do original para o usuário leigo. --- *Fonte: [MITRE ATT&CK - T1608.005](https://attack.mitre.org/techniques/T1608/005)*