# CryptBot > Tipo: **infostealer** · S1078 · [MITRE ATT&CK](https://attack.mitre.org/software/S1078) ## Descrição [[cryptbot|CryptBot]] é um infostealer (ladrão de informações) distribuído como malware-as-a-service (MaaS) amplamente utilizado por grupos criminosos desde 2019. O malware é projetado para roubar um amplo espectro de dados sensíveis de sistemas Windows comprometidos: credenciais de navegadores (senhas salvas, cookies de sessão), carteiras de criptomoedas (Bitcoin, Ethereum, Litecoin), dados de cartões de crédito, capturas de tela e informações do sistema. Em 2023, o Google obteve uma ordem judicial para desmantelar a infraestrutura do CryptBot e processou seus distribuidores. O [[cryptbot|CryptBot]] é tipicamente distribuído via sites falsos que oferecem software crackeado, ferramentas gratuitas populares e utilitários de produtividade. Após a execução, o malware verifica a localização do sistema e idioma para evitar infecções em países específicos, realiza verificação de ambiente de sandbox e coleta sistematicamente todos os dados de interesse antes de exfiltrá-los em arquivo ZIP para o servidor C2. O modelo MaaS permite que distribuidores adquiram acesso ao CryptBot e lucrem com as credenciais roubadas, revendendo-as em mercados clandestinos. O impacto do [[cryptbot|CryptBot]] é multiplicado pelo seu papel como loader: além de roubar informações, frequentemente instala malware adicional no sistema comprometido, incluindo ransomware, clipbankers e outros stealers. A combinação de roubo de credenciais bancárias, carteiras de criptomoedas e cookies de autenticação de dois fatores torna o CryptBot uma ameaça financeira direta de alto impacto. A investigação da Google em 2023 demonstrou a escala global das operações, com milhões de dispositivos comprometidos. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] - [[t1539-steal-web-session-cookie|T1539 - Steal Web Session Cookie]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1614-system-location-discovery|T1614 - System Location Discovery]] ## Detecção - Monitorar acesso a arquivos de perfil de navegadores (Chrome, Firefox, Edge) por processos não relacionados ([[t1555-003-credentials-from-web-browsers|T1555.003]]) - Detectar criação de arquivos ZIP em diretórios temporários seguida de upload imediato para servidores externos ([[t1041-exfiltration-over-c2-channel|T1041]]) - Alertar sobre acesso a arquivos de carteiras de criptomoedas ([[t1005-data-from-local-system|T1005]]) - Identificar downloads de executáveis disfarçados de software legítimo de sites não oficiais ([[t1518-001-security-software-discovery|T1518.001]]) - Implementar DNS sinkholing para domínios C2 conhecidos do CryptBot ## Relevância LATAM/Brasil O [[cryptbot|CryptBot]] tem presença documentada em campanhas ativas no Brasil, especialmente distribuído via sites de download de software pirata - prática comum no país. O Brasil possui alta taxa de uso de software não licenciado, criando um vetor de distribuição extremamente eficaz para o CryptBot. O crescente mercado de criptomoedas brasileiro torna o roubo de carteiras digitais especialmente lucrativo. Usuários brasileiros que buscam versões crackeadas de software populares (Adobe, Microsoft Office, jogos) são o perfil principal de vítimas. O roubo de credenciais bancárias via CryptBot pode facilitar fraudes bancárias em plataformas de internet banking brasileiras. ## Referências - [MITRE ATT&CK - S1078](https://attack.mitre.org/software/S1078) - [Google Blog - CryptBot Lawsuit](https://blog.google/technology/safety-security/google-disrupts-cryptbot-malware-operation/)