# BerserkStealer > Tipo: **infostealer** - [Sekoia](https://blog.sekoia.io/interlock-ransomware-evolving-under-the-radar/) > [!info] Infostealer C++ do Arsenal Interlock - Roubo de Credenciais Empresariais > O BerserkStealer e um infostealer desenvolvido em C++ e integrado ao arsenal de ferramentas do grupo [[interlock-ransomware|Interlock]] desde janeiro de 2025. Focado em roubo de credenciais empresariais, documentos sensiveis, keylogging e capturas de tela, o BerserkStealer e empacotado com um packer customizado do Interlock e deployado como parte da cadeia de ataque pre-ransomware. Documentado no Advisory FBI/CISA AA25-203A. ## Visão Geral O [[berserkstealer|BerserkStealer]] e um infostealer desenvolvido em C++ que foi incorporado ao toolkit do grupo [[interlock-ransomware|Interlock]] em janeiro de 2025, conforme documentado pela Sekoia em seu relatorio de abril de 2025 sobre a evolução do Interlock. O implante e distribuido empacotado com o packer customizado exclusivo do Interlock - o mesmo packer usado para proteger o [[interlock-powershell-rat|Interlock RAT]], keyloggers e outros componentes do arsenal do grupo. O BerserkStealer e deployado como componente de coleta de informações antes do ransomware - seu objetivo e maximizar o valor do ataque via dupla extorsao: roubar credenciais e documentos sensiveis que possam ser usados tanto para movimento lateral adicional quanto como leverage para extorsao caso a vitima se recuse a pagar o resgaté pela descriptografia. Funcionalidades documentadas incluem: roubo de credenciais de browsers (senhas, cookies, tokens de sessao), coleta de documentos locais e de rede, keylogging para captura de credenciais nao armazenadas, capturas periodicas de tela e exfiltração de informações do sistema. A Sekoia também observou o grupo usando o [[s1213-lumma-stealer|LummaStealer]] como alternativa ao BerserkStealer em fevereiro de 2025, indicando que o Interlock mantem múltiplas opcoes de stealer em rotacao. **Plataformas:** Windows ## Como Funciona O BerserkStealer opera como componente de coleta pre-ransomware na cadeia Interlock: 1. **Delivery**: powershell backdoor Interlock ou [[interlock-powershell-rat|Interlock RAT]] recebem comando do C2 para baixar o BerserkStealer 2. **Desempacotamento**: packer customizado do Interlock descomprime o BerserkStealer em memoria 3. **Coleta de credenciais**: varredura de browsers (Chrome, Firefox, Edge) para senhas, cookies e tokens 4. **Keylogging**: captura de keystrokes para senhas nao armazenadas (bancos, VPNs, email corporativo) 5. **Capturas de tela**: screenshots periodicos para documentar atividade do usuario 6. **Coleta de documentos**: enumeracao e copia de arquivos Office, PDF, arquivos de projeto 7. **Exfiltração**: dados enviados para C2 via canal existente do Interlock RAT ```mermaid graph TB A["Interlock RAT Ativo<br/>Acesso estabelecido<br/>Controle manual do atacante"] --> B["BerserkStealer Deploy<br/>Download via C2<br/>Packer customizado T1027"] B --> C["Coleta de Credenciais<br/>Browsers - Chrome Firefox Edge<br/>T1555.003 Passwords + Cookies"] C --> D["Keylogging Ativo<br/>Captura keystroke T1056.001<br/>Credenciais nao armazenadas"] D --> E["Screenshots + Documentos<br/>T1113 Screen Capture<br/>Arquivos Office PDF T1005"] E --> F["Exfiltração C2<br/>T1041 via canal Interlock<br/>Dupla extorsao leverage"] classDef start fill:#e74c3c,color:#fff classDef deploy fill:#e67e22,color:#fff classDef creds fill:#8e44ad,color:#fff classDef key fill:#2980b9,color:#fff classDef docs fill:#27ae60,color:#fff classDef exfil fill:#2c3e50,color:#fff class A start class B deploy class C creds class D key class E docs class F exfil ``` ## Timeline ```mermaid timeline title BerserkStealer - Historico Ján 2025 : BerserkStealer identificado no arsenal Interlock : Sekoia TDR rastreia primeiro uso Fev 2025 : Interlock alterna com LummaStealer : BerserkStealer e LummaStealer em rotacao Abr 2025 : Sekoia publica análise completa do Interlock : BerserkStealer documentado publicamente 2025 : Grupo Interlock continua usando packer customizado : BerserkStealer como ferramenta estabelecida ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Credential Access | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Roubo de credenciais de Chrome, Firefox, Edge | | Collection | [[t1056-001-keylogging\|T1056.001]] | Captura de keystrokes | | Collection | [[t1113-screen-capture\|T1113]] | Capturas periodicas de tela | | Collection | [[t1005-data-from-local-system\|T1005]] | Coleta de documentos locais | | Defense Evasion | [[t1027-obfuscated-files-or-information\|T1027]] | Packer customizado Interlock | | Discovery | [[t1082-system-information-discovery\|T1082]] | Perfil do sistema comprometido | | Discovery | [[t1083-file-and-directory-discovery\|T1083]] | Enumeracao de arquivos sensiveis | | Exfiltration | [[t1041-exfiltration-over-c2-channel\|T1041]] | Exfiltração via canal C2 Interlock existente | ## Relevância LATAM/Brasil O BerserkStealer e relevante para o Brasil pelo contexto do grupo [[interlock-ransomware|Interlock]], que tem operado na América Latina. O modelo de dupla extorsao do Interlock - onde o BerserkStealer maximiza o leverage antes do ransomware - e particularmente preocupante para organizacoes que armazenam credenciais corporativas sensiveis em browsers ou sistemas acessiveis. O vetor de acesso inicial do Interlock (fake browser updates via sites comprometidos, ClickFix e FileFix) e especialmente relevante no Brasil, onde usuarios tendem a instalar atualizacoes fora dos canais oficiais. Organizacoes dos setores [[healthcare|saúde]], [[financial|financeiro]] e [[technology|tecnologia]] devem monitorar IoCs do Interlock/BerserkStealer. **Setores historicamente impactados:** [[healthcare|saúde]] - [[financial|financeiro]] - [[technology|tecnologia]] - [[government|governo]] ## Detecção - Monitorar acesso a arquivos de perfil de browser (Login Data, Cookies) por processos nao-browser - Detectar processos que enumeram e copiam arquivos com extensoes .pdf, .docx, .xlsx em volume - Alertar para hooks de teclado (SetWindowsHookEx com WH_KEYBOARD) por processos desconhecidos - YARA/Sigma para o packer customizado Interlock - caracteristicas de empacotamento documentadas pela Sekoia ```sigma title: BerserkStealer Browser Credential Access status: experimental logsource: category: file_access product: windows detection: selection: TargetFilename|contains: - '\Chrome\User Data\Default\Login Data' - '\Firefox\Profiles\' - '\Microsoft\Edge\User Data\Default\Login Data' filter_legit: Image|endswith: - '\chrome.exe' - '\firefox.exe' - '\msedge.exe' condition: selection and not filter_legit level: high tags: - attack.credential-access - attack.t1555.003 ``` ## Referências - [1](https://blog.sekoia.io/interlock-ransomware-evolving-under-the-radar/) Sekoia - Interlock Ransomware Evolving Under the Radar (2025) - [2](https://blog.talosintelligence.com/emerging-interlock-ransomware/) Cisco Talos - Emerging Interlock Ransomware Analysis (2024) - [3](https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-203a) CISA/FBI - AA25-203A Interlock Ransomware Advisory (2025) - [4](https://malpedia.caad.fkie.fraunhofer.de/details/win.berserk_stealer) Malpedia - BerserkStealer Family Details (2025) - [5](https://research.splunk.com/stories/interlock_rat/) Splunk Security Content - Interlock RAT Detection Analytics (2025)