💸Comportamento prático de um Stealer

Olá, viajante! Nesse artigo, trago um case prático do modus operandi de um Stealer. Enjoy!

Contexto

Os malwares do tipo Stealer são famosos por tentarem realizar o roubo de informações salvas nos navegadores, como credenciais, endereços, cartões de crédito etc. Os navegadores armazenam as informações salvas pelos usuários em um arquivo, geralmente em SQLite. Alguns stealers bem conhecidos são o Raccoon e Redline.

Caso de Uso

Tendo em vista que o salvamento de credenciais e/ou outras informações no browser são comuns a maioria dos usuários convencionais, um stealer atua justamente na busca por esses arquivos. Já existem inúmeros scripts automatizados que podem varrer rapidamente um ativo, buscando por arquivos já conhecidos de browsers em seus respectivos diretórios padrão.

Para o caso de uso a seguir, utilizaremos as credenciais salvas no navegador Microsoft Edge.

As credenciais do Edge são armazenadas no seguinte arquivo:

C:\Users\{Username}\AppData\Local\Microsoft\Edge\User Data\Default\Login Data

Levando em conta o arquivo supracitado, podemos monitorar qualquer tentativa de acesso a ele.

Já existem scripts e aplicações de pós-exploração que automatizam a busca, a coleta e a quebra das senhas de browsers já conhecidos, como o LaZagne. Sua utilização básica pode ser:

python LaZagne.py browsers

Após a coleta ser realizada, algumas outras ações podem acontecer no ativo infectado. Para mantermos a cobertura do caso de uso do início ao fim do processo, precisamos mapear a exfiltração das informações. Nesse caso, utilizaremos o comando Invoke-WebRequest para enviar o conteúdo para o servidor externo:

Prova de Conceito

Após a exfiltração dos dados ter sido realizada, podemos visualizar as informações presentes no servidor externo.

PreviousComo funciona uma aplicação web NextDetectando e analisando SQL Injection

Last updated 8 months ago