# Aurora Stealer > [!danger] Infostealer MaaS baseado em Golang que rouba credenciais de navegadores, carteiras de criptomoedas e dados de sistema, com capacidade adicional de loader para payloads secundários. ## Descrição Aurora Stealer é um infostealer desenvolvido em **Golang** e comercializado como Malware-as-a-Service (MaaS) em fóruns underground de língua russa desde abril de 2022, por um ator conhecido como "Cheshire". Sua arquitetura modular combina roubo de dados, acesso remoto e funcionalidades de loader, tornando-o uma ferramenta versátil para múltiplos grupos criminosos que operam no modelo de afiliados. O malware opera por meio de um módulo grabber que coleta cookies, histórico de navegação, senhas autofill e dados de sessão de navegadores como Chrome, Opera e Brave - mas notavelmente não extrai credenciais do Mozilla Firefox. Além disso, tem capacidade de atingir mais de 100 extensões de carteiras de criptomoedas e aproximadamente 40 aplicações de carteiras desktop, tornando-o particularmente lucrativo para operações voltadas ao mercado cripto. O módulo loader permite que atores de ameaça implantem payloads secundários via comandos PowerShell, transformando hosts comprometidos em plataformas para ataques subsequentes. Dados coletados são formatados em JSON, comprimidos com GZIP e codificados em Base64 antes de serem transmitidos ao servidor C2 na porta padrão 8081. Uma técnica característica é o padding dos executáveis maliciosos para aproximadamente 260MB com zeros extras, visando evasão de soluções antivírus baseadas em tamanho de arquivo. A distribuição ocorre majoritariamente via anúncios maliciosos no Google (malvertising) simulando instaladores de software legítimo como Notepad++, websites de phishing se passando por plataformas de download, canais de redes sociais comprometidos e sites de software pirata com SEO envenenado. No contexto LATAM e brasileiro, o foco em carteiras de criptomoedas representa risco elevado dado o crescimento acelerado da adoção cripto na região, especialmente no Brasil que lidera a América Latina em volume de transações. ## Técnicas Utilizadas - [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] - entrega via anúncios maliciosos e sites de phishing - [[t1059-001-powershell|T1059.001 - PowerShell]] - execução de módulo loader para payloads secundários - [[t1047-windows-management-instrumentation|T1047 - WMI]] - coleta de informações do sistema via WMIC - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] - extração de cookies e senhas de navegadores - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - enumeração de OS, CPU, GPU, RAM e HWID - [[t1115-clipboard-data|T1115 - Clipboard Data]] - captura de dados da área de transferência - [[t1113-screen-capture|T1113 - Screen Capture]] - captura de tela do sistema comprometido - [[t1560-archive-collected-data|T1560 - Archive Collected Data]] - compressão GZIP dos dados coletados - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - exfiltração via porta 8081 com Base64 ## Grupos que Usam - [[privateloader|PrivateLoader]] - distribuidora de malware que inclui Aurora em seu portfólio - Múltiplos grupos de "traffer teams" que operam campanhas independentes via modelo MaaS desde setembro de 2022 ## Detecção **Indicadores de rede:** Monitorar tráfego de saída para a porta 8081 com payloads GZIP/Base64 codificados em JSON. Conexões a domínios C2 suspeitos com padrão de beacon regular são indicativas de comprometimento ativo. Regras de firewall bloqueando saída não autorizada na porta 8081 reduzem a superfície de exfiltração. **Indicadores de comportamento em endpoint:** Detectar execução de WMIC para enumeração de sistema logo após abertura de executável suspeito. Regras Sysmon para criação de arquivos `temp.zip` sob `%userprofile%` e consultas a diretórios de extensões de navegadores e carteiras cripto indicam atividade do módulo grabber. Monitorar processos PowerShell iniciados por executáveis fora de `%SystemRoot%` e `%ProgramFiles%`. **Análise de arquivos:** Executáveis com tamanho anormalmente elevado (~260MB) e entropia baixa (preenchidos com zeros) devem ser submetidos a análise comportamental em sandbox. Scripts PowerShell baixando payloads adicionais logo após infecção inicial são indicativos do módulo loader em ação. **Regras YARA/Sigma:** Criar assinaturas para acesso a caminhos hardcoded de carteiras cripto e extensões de navegadores, combinados com criação de conexões de saída para a porta 8081. Detecção de binários Go compilados de grande porte com padrão de comunicação JSON/GZIP pode identificar variantes novas do Aurora. ## Relevância LATAM/Brasil Embora não existam campanhas documentadas específicamente contra o Brasil, o Aurora Stealer representa risco direto ao ecossistema cripto brasileiro. O Brasil é o maior mercado de criptomoedas da América Latina, com milhões de usuários ativos em exchanges como Mercado Bitcoin, Binance BR e Coinbase. O foco do Aurora em mais de 140 carteiras e extensões cripto, aliado à distribuição via malvertising em mecanismos de busca amplamente utilizados no país, posiciona este malware como ameaça relevante para investidores e empresas do setor [[financial|financeiro]] e [[technology|tecnológico]] brasileiro. O modelo MaaS permite que grupos criminosos locais adquiram e operem o malware sem necessidade de desenvolvimento próprio. ## Referências - [Malpedia - Aurora Stealer](https://malpedia.caad.fkie.fraunhofer.de/details/win.aurora_stealer) - [Sekoia - Aurora: A Rising Stealer Flying Under the Radar](https://blog.sekoia.io/aurora-a-rising-stealer-flying-under-the-radar/) - [eSentire Threat Intelligence - Aurora Stealer Analysis](https://www.esentire.com/blog/esentire-threat-intelligence-malware-analysis-aurora-stealer) - [Cyble - Aurora: A Stealer Using Shapeshifting Tactics](https://cyble.com/aurora-a-stealer-using-shapeshifting-tactics/) - [Security Affairs - Aurora Stealer Malware](https://securityaffairs.com/138851/malware/aurora-stealer-malware.html)