# Comportamento prático de um Stealer ## Contexto Os malwares do tipo *Stealer* são famosos por tentarem realizar o roubo de informações salvas nos navegadores, como credenciais, endereços, cartões de crédito etc. Os navegadores armazenam as informações salvas pelos usuários em um arquivo, geralmente em SQLite. Alguns *stealers* bem conhecidos são o [Raccoon](https://olhardigital.com.br/2022/06/28/seguranca/raccoon-stealer-2-0-malware-que-fez-estrago-em-sites-porno-em-2020-esta-de-volta/) e [Redline](https://nordvpn.com/pt-br/blog/redline-stealer-malware/).

Exemplo de arquivo de credenciais salvas no browser

## Caso de Uso Tendo em vista que o salvamento de credenciais e/ou outras informações no browser são comuns a maioria dos usuários convencionais, um *stealer* atua justamente na busca por esses arquivos. Já existem inúmeros scripts automatizados que podem varrer rapidamente um ativo, buscando por arquivos já conhecidos de browsers em seus respectivos diretórios padrão. Para o caso de uso a seguir, utilizaremos as credenciais salvas no navegador **Microsoft Edge**.

As credenciais do Edge são armazenadas no seguinte arquivo: ``` C:\Users\{Username}\AppData\Local\Microsoft\Edge\User Data\Default\Login Data ``` Levando em conta o arquivo supracitado, podemos monitorar qualquer tentativa de acesso a ele.

E-mail de testes sendo capturado dentro do arquivo de origem

Já existem scripts e aplicações de pós-exploração que automatizam a busca, a coleta e a **quebra** das senhas de browsers já conhecidos, como o [LaZagne](https://github.com/AlessandroZ/LaZagne). Sua utilização básica pode ser: ```sh python LaZagne.py browsers ```

Senha capturada em texto claro via LaZagne

Após a coleta ser realizada, algumas outras ações podem acontecer no ativo infectado. Para mantermos a cobertura do caso de uso do início ao fim do processo, precisamos mapear a exfiltração das informações. Nesse caso, utilizaremos o comando `Invoke-WebRequest` para enviar o conteúdo para o servidor externo:

Exfiltração do arquivo descriptografado para o servidor remoto

## Prova de Conceito Após a exfiltração dos dados ter sido realizada, podemos visualizar as informações presentes no servidor externo.

Arquivo exfiltrado dentro do servidor remoto

--- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://2h4ck.gitbook.io/home/artigos/web/comportamento-pratico-de-um-stealer.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.