# ISRStealer > Tipo: **infostealer** · S0398 · [MITRE ATT&CK](https://attack.mitre.org/software/S0398) ## Descrição [[isrstealer|ISRStealer]] é um infostealer utilizado pelo grupo de espionagem cibernética [[g0040-patchwork|Patchwork]] (também conhecido como Dropping Elephant, Chinastrats ou APT-C-09), suspeito de origem indiana, ativo desde pelo menos 2015. O [[isrstealer|ISRStealer]] foi identificado em campanhas direcionadas a organizações governamentais, embaixadas e entidades de defesa no Paquistão, China e outros países do Sul da Ásia, refletindo os objetivos geopolíticos do [[g0040-patchwork|Patchwork]] em monitorar adversários regionais da Índia. As capacidades do [[isrstealer|ISRStealer]] incluem registro de teclas ([[t1056-001-keylogging|T1056.001]]), coleta do conteúdo da área de transferência ([[t1115-clipboard-data|T1115]]), roubo de credenciais de navegadores web ([[t1555-003-credentials-from-web-browsers|T1555.003]]) e exfiltração de arquivos locais sensíveis ([[t1005-data-from-local-system|T1005]]). Os dados coletados são enviados ao servidor C2 via canal de comunicação HTTP/HTTPS ([[t1071-001-web-protocols|T1071.001]]) com exfiltração pelo canal C2 ([[t1041-exfiltration-over-c2-channel|T1041]]). O [[g0040-patchwork|Patchwork]] distribui o [[isrstealer|ISRStealer]] principalmente através de documentos de isca temáticos relacionados a assuntos militares, diplomáticos e de política regional. O [[g0040-patchwork|Patchwork]] é notório por sua abordagem de "copy-paste": pesquisadores identificaram que o grupo frequentemente copia código de fóruns públicos e ferramentas open-source, recombinando-os em seus malwares. O [[isrstealer|ISRStealer]] reflete essa característica, sendo essencialmente um conjunto de funcionalidades de roubo de informações montadas a partir de componentes existentes, mas efetivo o suficiente para comprometer organizações sem defesas avançadas. Em 2022, o [[g0040-patchwork|Patchwork]] comprometeu inadvertidamente sua própria infraestrutura C2, expondo logs de vítimas que confirmaram seus alvos primários em países do Sul da Ásia. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1115-clipboard-data|T1115 - Clipboard Data]] - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] ## Grupos que Usam - [[g0040-patchwork|Patchwork]] ## Detecção A detecção do [[isrstealer|ISRStealer]] é semelhante à de outros infostealers baseados em Windows. Monitorar: hooks de teclado (WH_KEYBOARD_LL) instalados por processos não-autorizados; acesso a bancos de dados SQLite de navegadores (Chrome/Firefox em AppData) por processos externos; e comunicação HTTP de saída contendo dados codificados em Base64 ou estruturas JSON/XML com campos de credenciais. Análise de pacotes de rede saindo de estações de trabalho para domínios de baixa reputação registrados recentemente são indicadores relevantes. Regras YARA baseadas em strings características do [[isrstealer|ISRStealer]] e seus padrões de ofuscação estão disponíveis em repositórios de inteligência como MalwareBazaar. Sandboxes corporativos devem ser configurados para executar documentos Office recebidos por email e monitorar comportamentos de keylogging e acesso a perfis de navegadores. ## Relevância LATAM/Brasil O [[g0040-patchwork|Patchwork]] opera predominantemente no Sul da Ásia, sem campanhas documentadas específicamente contra alvos brasileiros. A relevância para o Brasil é limitada, porém embaixadas indianas na América Latina e organizações brasileiras com contratos de defesa ou parcerias tecnológicas com Índia e Paquistão podem ser alvos colaterais em campanhas de espionagem regional. O [[isrstealer|ISRStealer]] é relevante principalmente como exemplo de técnicas de infostealer que são amplamente replicadas por atores de ameaça locais no Brasil, tornando seu estudo útil para equipes de defesa. ## Referências - [MITRE ATT&CK - S0398](https://attack.mitre.org/software/S0398)