# Meduza Stealer > Tipo: **infostealer MaaS** - [Zscaler ThreatLabz Analysis](https://www.zscaler.com/blogs/security-research/meduza-stealer-new-infostealer-targeting-browsers-and-crypto-wallets) > [!warning] Modelo de Negocio Premium com Suporte Profissional > Meduza Stealer se distingue no mercado de infostealers por seu modelo de negocio profissional: $199/mes, $399/3 meses ou $1.199/ano com suporte via Telegram 24/7, interface web de gestao de logs, atualizacoes frequentes e, crucialmente, **lista de exclusao de IPs de analistas** de segurança conhecidos - um nivel de operacionalizacao raramente visto em malware MaaS. ## Visão Geral [[meduza-stealer|Meduza Stealer]] e um infostealer comercial MaaS lancado em junho de 2023, descoberto pela Zscaler ThreatLabz. Seu nome e uma referência a Medusa da mitologia grega, e o malware se posicionou como um produto premium no competitivo mercado de infostealers com um diferencial de aténdimento: suporte via Telegram, interface web elegante para gerenciar logs exfiltrados, e atualizacoes regulares com novas funcionalidades. A caracteristica mais incomum do Meduza Stealer e sua **lista de exclusao de IPs de analistas de segurança** - o operador mantem e atualiza uma lista de IPs pertencentes a pesquisadores de segurança e ferramentas de sandboxing, evitando execução nesses ambientes. Isso significa que amostras analisadas em sandboxes públicas frequentemente nao mostram o comportamento malicioso real. Técnicamente, o Meduza Stealer suporta coleta de credenciais de **76 browsers**, dados do **Windows Credential Manager** ([[t1555-004-windows-credential-manager|T1555.004]]), sessoes de **autenticadores** (Google Authenticator, Authy), dados de **gerenciadores de senha** (Bitwarden, 1Password, KeePass), **carteiras de criptomoedas** e suporte a **keylogging** opcional. **Plataformas:** Windows ## Como Funciona O Meduza Stealer implementa uma arquitetura focada em maxima coleta com minima exposicao: 1. **Verificação anti-análise:** Antes de qualquer acoes maliciosa, verifica o IP público do sistema comprometido contra uma lista de IPs de analistas e sandboxes conhecidos. Se detectado, encerra silenciosamente ([[t1614-system-location-discovery|T1614]]) 2. **Geofencing CIS:** Verifica localidade do sistema - evita execução em Russia, Bielorrussia, Cazaquistao, Georgia, Moldova 3. **Reconhecimento:** Coleta dados hardware, SO, usuario e enumeracao de AV ([[t1082-system-information-discovery|T1082]], [[t1518-001-security-software-discovery|T1518.001]]) 4. **Harvest de browsers:** Extrai credenciais, cookies e sessoes de 76 browsers Chromium e Firefox ([[t1555-003-credentials-from-web-browsers|T1555.003]], [[t1539-steal-web-session-cookie|T1539]]) 5. **Windows Credential Manager:** Acessa e extrai credenciais armazenadas no gerenciador de credenciais do Windows ([[t1555-004-windows-credential-manager|T1555.004]]) 6. **Autenticadores e gerenciadores de senha:** Tenta exportar seeds de autenticadores 2FA e dados de gerenciadores de senha (Bitwarden, 1Password, KeePass) 7. **Crypto wallets:** Coleta extensoes de browser e aplicativos desktop de carteiras 8. **Keylogging (opcional):** Módulo de captura de teclado ativavel pelo operador ([[t1056-001-keylogging|T1056.001]]) 9. **Screenshot:** Captura tela ([[t1113-screen-capture|T1113]]) 10. **Exfiltração para painel web:** Envia dados ao painel de controle do operador via HTTPS ([[t1041-exfiltration-over-c2-channel|T1041]]) ```mermaid graph TB A["Vetor inicial<br/>Malvertising / Phishing"] --> B["Verificação anti-análise<br/>IP check vs lista analistas"] B --> C{"IP suspeito?<br/>Encerra se sim"} C --> |"IP limpo"| D["Geofencing CIS<br/>Evita Russia/Belarus etc"] D --> E["Reconhecimento<br/>T1082 + T1518"] E --> F["76 browsers<br/>T1555.003 + T1539"] F --> G["Windows Credential Manager<br/>T1555.004"] G --> H["Autenticadores 2FA<br/>Google Auth / Authy"] H --> I["Gerenciadores de senha<br/>Bitwarden / 1Password"] I --> J["Crypto wallets<br/>Desktop + extensoes"] J --> K["Keylogging opcional<br/>T1056.001"] K --> L["Exfiltração HTTPS<br/>Painel web do operador"] ``` ## Timeline de Eventos ```mermaid timeline title Meduza Stealer - Lancamento e Evolução 2023-jun : Lancamento e descoberta pela Zscaler : Vendido como MaaS premium com suporte Telegram 2023-ago : Análises publicadas por multiplos pesquisadores : Destaque pelo modelo de negocio profissional 2023 : Atualizacoes frequentes - novos browsers e funções : Lista de IPs de analistas atualizada regularmente 2024 : Expansao com módulo de keylogging : Integracao com gerenciadores de senha 2025 : Continua ativo com base de clientes estavel : Competindo com StealC e RisePro por market share ``` ## Técnicas Utilizadas | Técnica | Descrição | |---------|-----------| | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Credenciais salvas de 76 browsers Chromium/Firefox | | [[t1539-steal-web-session-cookie\|T1539]] | Cookies de sessao e tokens de autenticação | | [[t1555-004-windows-credential-manager\|T1555.004]] | Acessa Windows Credential Manager diretamente | | [[t1082-system-information-discovery\|T1082]] | Fingerprinting completo do sistema comprometido | | [[t1005-data-from-local-system\|T1005]] | Coleta dados locais - wallets, apps, arquivos | | [[t1041-exfiltration-over-c2-channel\|T1041]] | Exfiltração HTTPS para painel web do operador | | [[t1614-system-location-discovery\|T1614]] | Verificação de IP e localidade (geofencing + anti-análise) | | [[t1518-001-security-software-discovery\|T1518.001]] | Detecção de AV e ferramentas de segurança | | [[t1056-001-keylogging\|T1056.001]] | Módulo de keylogging ativavel pelo operador | | [[t1113-screen-capture\|T1113]] | Screenshot no momento da execução | | [[t1027-obfuscated-files-or-information\|T1027]] | Código e strings ofuscados para evasão | ## Grupos que Usam Vendido como MaaS premium a operadores individuais. A lista de exclusao de IPs de analistas dificulta rastreamento de compradores específicos. Distribuido principalmente via malvertising e phishing - nao ha atribuicao a grupos APT conhecidos. ## Impacto no Brasil e LATAM O Meduza Stealer e particularmente preocupante para organizacoes brasileiras que utilizam autenticadores 2FA baseados em software (Google Authenticator, Authy) como segundo fator de autenticação. Se o dispositivo que roda o autenticador e comprometido, o Meduza pode exportar as seeds ou tokens - efetivamente comprometendo o segundo fator. Para organizacoes financeiras brasileiras que dependem do Windows Credential Manager para gerenciar credenciais de servicos internos, o suporte específico do Meduza ao [[t1555-004-windows-credential-manager|T1555.004]] e um vetor de risco significativo. A lista de exclusao de IPs de analistas significa que amostras coletadas no Brasil podem nao ser detectadas por sandboxes públicas - reduzindo a cobertura de inteligência de ameaças para a regiao. ## Detecção - Monitorar acesso ao Windows Credential Manager (`vaultcli.dll`) por processos nao-autorizados - Alertar para leitura de dados de autenticadores (arquivos de configuração do Google Authenticator e Authy) - Detectar acesso ao banco de dados SQLite de gerenciadores de senha por processos externos - Implementar monitoramento comportamental de EDR para acesso em massa a dados de browser - Usar hardware tokens (FIDO2/WebAuthn) em vez de autenticadores de software para sistemas criticos - Regras de detecção: consultar [[m1041-encrypt-sensitive-information|M1041 - Encriptar Informacoes Sensiveis]] e [[m1026-privileged-account-management|M1026 - Gestao de Contas Privilegiadas]] ## Referências - [Zscaler ThreatLabz - Meduza Stealer Discovery (2023)](https://www.zscaler.com/blogs/security-research/meduza-stealer-new-infostealer-targeting-browsers-and-crypto-wallets) - [SEKOIA.IO - Meduza Stealer Profile](https://blog.sekoia.io/meduza-stealer-an-infostealer-with-professional-support/) - [ANY.RUN - Meduza Stealer Analysis](https://any.run/malware-trends/meduza-stealer) - [Kaspersky - Meduza Stealer Technical Analysis](https://securelist.com/meduza-stealer/110850/) - [Cyfirma - Meduza Stealer Research](https://www.cyfirma.com/research/meduza-stealer-a-new-entrant-in-the-realm-of-infostealers/)