# DeerStealer > [!high] Infostealer Windows do TA2727 — Par Windows do FrigidStealer > DeerStealer é um infostealer para Windows operado pelo grupo TA2727, descoberto pela Proofpoint em 2025 durante análise de campanhas de fake browser update. Opera como contraparte Windows do FrigidStealer (macOS), compondo um arsenal multiplataforma de roubo de credenciais. ## Visão Geral O DeerStealer é um infostealer para Windows documentado pela Proofpoint em 2025, atribuído ao grupo TA2727. O malware faz parte de um arsenal multiplataforma junto com o [[frigidstealer|FrigidStealer]] (macOS) — indicando que o TA2727 desenvolveu capacidades de comprometimento tanto de sistemas Windows quanto macOS com objetivos similares de roubo de credenciais e dados. O DeerStealer é distribuído via campanhas de fake browser update, técnica em que páginas web comprometidas ou maliciosas apresentam falsas notificações de atualização de navegador. Quando o usuário clica para "atualizar", baixa e executa o dropper do DeerStealer. Uma vez ativo no sistema Windows, o DeerStealer foca em roubar credenciais salvas em navegadores (Chrome, Edge, Firefox), cookies de sessão, dados de carteiras de criptomoedas e outros arquivos de valor. Os dados são comprimidos e exfiltrados ao servidor C2 do grupo. > [!latam] Relevância para o Brasil e LATAM > Campanhas de fake browser update têm alta efetividade no Brasil, onde usuários frequentemente recebem alertas de atualização e nem sempre conseguem distinguir entre avisos legítimos e phishing. O DeerStealer, operando em Windows — o sistema mais comum em empresas brasileiras —, representa risco direto ao [[financial|setor financeiro]], corporativo e de varejo. Treinamento de usuários sobre identificação de fake update pages é medida preventiva essencial. ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1566-phishing\|T1566]] | Fake browser update pages em sites comprometidos | | Execution | [[t1204-user-execution\|T1204]] | Usuário executa instalador malicioso | | Collection | [[t1005-data-from-local-system\|T1005]] | Coleta de arquivos locais e dados de cripto | | Credential Access | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Roubo de credenciais de navegadores | ## Detecção - Detectar execução de processos de "atualização de browser" de locais incomuns - Monitorar acesso ao banco de dados SQLite de credenciais de Chrome/Firefox/Edge - Alertar para criação de arquivos ZIP temporários seguida de transmissão HTTP - Correlacionar com indicadores de TA2727 e [[frigidstealer|FrigidStealer]] ## Referências - [Proofpoint - TA2727 DeerStealer and FrigidStealer (2025)](https://www.proofpoint.com/us/blog/threat-insight/frosted-flakes-frigidstealer-ta2727) - [BleepingComputer - DeerStealer Analysis (2024)](https://www.bleepingcomputer.com)