# Aurora Stealer - O Infostealer em Go que Conquistou o Mercado MaaS > **ATIVO | Infostealer MaaS | Windows | Global** - Aurora Stealer e um infostealer escrito em **Go** (Golang) que emergiu em abril de 2022 como servico MaaS nos principais canais underground russos. Comercializado por US$ 125-250/mes ou US$ 1.000 vitalicio, rapidamente ganhou adocao por **traffers teams** - redes criminosas especializadas em direcionar vitimas para downloads maliciosos via Google Ads e SEO poisoning. Distribui via instaladores falsos de software legitimo. > [!warning] Distribuição via Traffers > Aurora e amplamente distribuido por redes de "traffers" - grupos que compram trafego malicioso via Google Ads e sites de software pirata para instalar stealers em escala. Esta cadeia de distribuição torna o Aurora especialmente perigoso pois aparece em buscas legitimas por software popular (Discord, Telegram, OpenOffice). ## Visão Geral **Aurora Stealer** (alias "Aurora") e um infostealer de nova geracao desenvolvido em **Go (Golang)**, linguagem que oferece vantagens significativas para malware: binarios estáticamente compilados sem dependências externas, multiplataforma por natureza, e mecanismos de ofuscacao mais eficazes contra antivirus. Foi anunciado em abril de 2022 em canais Telegram underground russas e rapidamente adquiriu base de clientes entre operadores de campanhas de distribuição em massa. O stealer distingue-se técnicamente por enviar todos os dados coletados como **um único pacote JSON codificado em Base64** via HTTP POST, em contraste com stealers que fazem múltiplas requisicoes separadas. Esta abordagem reduz a superficie detectavel no trafego de rede. | Campo | Detalhe | |-------|---------| | **Tipo** | Infostealer MaaS | | **Linguagem** | Go (Golang) | | **Preco** | US$ 125/mes / US$ 250/mes / US$ 1.000 vitalicio | | **Primeira observacao** | Abril 2022 | | **Status** | Ativo - distribuido por traffers teams | | **C2** | HTTP POST - payload único JSON Base64 | | **Alvos principais** | Chromium browsers, carteiras crypto, tokens Discord | ## Visão Geral Técnica ### Arquitetura Go-based Aurora e compilado como binario **Go estatico** com caracteristicas técnicas distintas: **Coleta de Dados:** - Credenciais de browsers Chromium (Chrome, Brave, Opera, Vivaldi) via SQLite e DPAPI - **Firefox: apenas cookies** - Aurora nao extrai senhas salvas do Firefox (limitacao documentada) - Cookies de sessao de todos os browsers principais ([[t1539-steal-web-session-cookie|T1539]]) - Historico de navegacao e autofill forms - Carteiras de criptomoedas: MetaMask, Coinbase, Phantom, Keplr, extensions Chrome/Brave - Tokens de Discord e Telegram - Arquivos com extensoes específicadas pelo operador (txt, doc, pdf, etc.) **Reconhecimento do Sistema:** - Coleta via **WMIC** para informações do host: hardware, OS, usuario, dominio ([[t1082-system-information-discovery|T1082]]) - Screenshot da area de trabalho no momento da execução ([[t1113-screen-capture|T1113]]) - Lista de processos em execução **Exfiltração:** - **Único JSON Base64** com todos os dados coletados enviado via HTTP POST ([[t1020-automated-exfiltration|T1020]]) - Panel web para operadores visualizarem dados roubados - Opcional: envio de notificacoes por Telegram **Evasão:** - Binary padding com bytes nulos para aumentar tamanho e confundir AV heuristicos ([[t1027-001-binary-padding|T1027.001]]) - Sem mecanismo de persistência (execução única e exfiltração imediata) - Ausência de VM/sandbox checks explícitos nas versoes iniciais ### Cadeia de Infecção ```mermaid graph TB A["🎯 Google Ads malicioso<br/>Software popular falsificado<br/>Discord / Telegram / OpenOffice"] --> B["🌐 Site clone convincente<br/>Dominio typosquatting<br/>SEO poisoning"] B --> C["⬇️ Download do instalador<br/>NSIS / InnoSetup wrapper<br/>Software legit + Aurora dropper"] C --> D["🚀 Aurora executa<br/>Go binary estatico<br/>sem dependencias"] D --> E["🔍 Reconhecimento<br/>WMIC info do host<br/>Screenshot desktop"] E --> F["🍪 Coleta de credenciais<br/>Chromium DPAPI<br/>Crypto wallets / Discord"] F --> G["📤 Exfiltração única<br/>JSON Base64 via HTTP POST<br/>C2 do operador"] G --> H["💾 Panel do operador<br/>Dados organizados<br/>Venda em mercados"] ``` ## Timeline ```mermaid timeline title Aurora Stealer - Historico 2022-04 : Lancamento em canal Telegram underground : Preco inicial US$125/mes 2022-09 : Adotado por traffers teams em larga escala : Distribuição via Google Ads documentada 2022-10 : SEKOIA analisa infraestrutura Aurora : Multiplos operadores ativos identificados 2022-11 : Morphisec documenta campanhas de malvertising : Instaladores falsos de Discord e Telegram 2023 : Novas versoes com alvos crypto expandidos : Integracao com mais carteiras DeFi 2024 : Continua ativo em campanhas de traffers : Detectado em campanhas LATAM ``` ## TTPs MITRE ATT&CK | ID | Técnica | Uso | |----|---------|-----| | [[t1189-drive-by-compromise\|T1189]] | Drive-by Compromise | Sites clone de software distribuidos via Google Ads | | [[t1204-002-malicious-file\|T1204.002]] | Malicious File | Usuario executa installer NSIS/InnoSetup falso | | [[t1027-001-binary-padding\|T1027.001]] | Binary Padding | Bytes nulos adicionados ao Go binary para evadir AV | | [[t1555-003-credentials-from-browsers\|T1555.003]] | Credentials from Browsers | DPAPI para extrair credenciais Chromium | | [[t1539-steal-web-session-cookie\|T1539]] | Steal Web Session Cookie | Cookies de todos os browsers para account takeover | | [[t1082-system-information-discovery\|T1082]] | System Information Discovery | WMIC para hardware, OS, dominio | | [[t1113-screen-capture\|T1113]] | Screen Capture | Screenshot do desktop durante execução | | [[t1020-automated-exfiltration\|T1020]] | Automated Exfiltration | JSON Base64 único POST - tudo de uma vez | | [[t1592-gather-victim-host-information\|T1592]] | Gather Victim Host Information | Perfil completo do sistema antes de exfiltrar | ## Alvos de Coleta | Categoria | Alvos Específicos | |-----------|------------------| | Browsers Chromium | Chrome, Brave, Opera, Vivaldi, Edge (senhas + cookies + historico) | | Firefox | Apenas cookies (limitacao conhecida - sem senhas) | | Crypto Wallets (extensoes) | MetaMask, Coinbase Wallet, Phantom, Keplr, TronLink, Ronin | | Crypto Wallets (apps) | Exodus, Electrum, Atomic, Jáxx Liberty | | Comúnicação | Discord (tokens), Telegram (sessao) | | Dados do sistema | Screenshot, lista de processos, info hardware | | Arquivos | Extensoes configuradas pelo operador (.txt, .doc, .pdf, .key) | ## Impacto no Brasil / LATAM Aurora Stealer chegou ao Brasil via redes de traffers que operam campanhas de malvertising globais: - **Vetor de entrada**: Campanhas de Google Ads para instaladores falsos de Discord, Telegram e software de produtividade atingem usuarios brasileiros em buscas comuns - **Mercados de credenciais**: Dados de usuarios brasileiros roubados por Aurora aparecem em Russian Market e Genesis Market, com foco em contas bancarias e de exchange de criptomoedas - **Setor cripto**: O Brasil e um dos maiores mercados de criptomoedas da América Latina, tornando vitimas brasileiras alvos de alto valor para o roubo de carteiras > [!tip] Proteção Basica > O vetor principal do Aurora e malvertising - anuncios pagos em resultados de busca para software popular. Sempre verificar o dominio oficial antes de fazer download. Usar gerenciadores de senhas com autenticação de dominio (que nao preenchem automaticamente em sites clonados) reduz dramaticamente o risco de captura de credenciais. ## Detecção e Caca a Ameaças ### Indicadores Comportamentais - Processo executando `wmic` com queries de hardware/sistema logo após inicializacao - Binario Go (alta entropia, importacoes de stdlib Go: `net/http`, `os/exec`) sem assinatura digital - Conexão HTTP POST para IP/dominio externo com payload de alta entropia (Base64) - Acesso ao banco SQLite do Chrome (`Login Data`, `Cookies`) fora do processo do browser - Leitura de arquivos de carteiras crypto em `%APPDATA%\{wallet_name}\` ### KQL - Microsoft Sentinel ```kusto // Aurora: processo lendo banco de dados do Chrome fora do browser DeviceFileEvents | where FileName in ("Login Data", "Cookies", "Web Data") | where FolderPath contains "Google\\Chrome\\User Data" | where InitiatingProcessFileName !in~ ("chrome.exe", "GoogleUpdaté.exe") | project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessFolderPath, FileName | sort by Timestamp desc ``` ```kusto // Aurora: WMIC sendo executado por processo suspeito (nao sistema) DeviceProcessEvents | where FileName == "wmic.exe" | where ProcessCommandLine has_any ("cpu", "csproduct", "os", "computersystem") | where InitiatingProcessFileName !in~ ("svchost.exe", "services.exe", "msiexec.exe") | project Timestamp, DeviceName, InitiatingProcessFileName, ProcessCommandLine ``` ## Referências - [SEKOIA - Aurora Stealer Analysis (2022)](https://blog.sekoia.io/aurora-a-rising-stealer-flying-under-the-radar/) - [Morphisec - Aurora Malvertising Campaign](https://blog.morphisec.com/aurora-stealer-growing-threat) - [G Data - Aurora Technical Deep Dive](https://www.gdatasoftware.com/blog/2023/01/37301-aurora-stealer-malware-2022) - [ANY.RUN - Aurora Stealer Samples](https://any.run/malware-trends/aurora) - [ThreatFox - Aurora IoCs](https://threatfox.abuse.ch/browse/malware/win.aurora_stealer/)