# META Stealer > Tipo: **infostealer MaaS** - [KELA Research](https://www.kelacyber.com/blog/stealers-in-the-spotlight-meta-infostealer/) > [!warning] Duas Familias com o Mesmo Nome > O nome "META Stealer" refere-se a DUAS familias distintas: (1) o **META Windows** - um fork do RedLine para Windows lanado em marco de 2022 e vendido como MaaS; e (2) o **MetaStealer macOS** - um stealer Go-based para macOS descoberto em 2023 pela SentinelOne, visando empresas via engenharia social B2B. Este perfil cobre primariamente a versao Windows. Para ameaças macOS corporativas, ambas as familias devem ser monitoradas. ## Visão Geral **META Stealer (Windows)** e um infostealer MaaS lanado em marco de 2022 por um ator usando o alias "_META_" em forums clandestinos como Exploit.in. O malware e amplamente considerado um fork direto ou variante avancada do [[s1240-redline-stealer|RedLine Stealer]], compartilhando grande parte do código mas com melhorias na evasão de antivirus e um modelo de negocio mais agressivo. O META Stealer Windows foi posicionado como substituto do [[s1240-redline-stealer|RedLine]] em um momento em que o RedLine estava com sua popularidade no pico - o timing foi estratégico. O ator "_META_" anunciou o malware com claims de "melhor evasão de AV que o RedLine" e um painel de controle mais moderno, rapidamente ganhando tracoes em forums russos de cibercrime. **META Stealer (macOS)** e uma familia completamente separada, descoberta pela SentinelOne em setembro de 2023. Escrito em Go (Golang), este stealer visa específicamente empresas via spearphishing B2B: o ator envia emails se passando por potenciais clientes ou parceiros, incluindo arquivos DMG com nomes como "Project Terms & Conditions.dmg". Uma vez executado, rouba dados de aplicativos como Telegram, FileZilla, 1Password e senhas armazenadas localmente. Este perfil foca na variante **Windows MaaS** por sua maior relevância volumetrica. **Plataformas:** Windows (MaaS); macOS (variante separada Go-based) ## Como Funciona O META Stealer Windows segue um pipeline similar ao RedLine com melhorias de evasão: 1. **Entrega:** Campanhas de phishing com anexos maliciosos ([[t1566-001-spearphishing-attachment|T1566.001]]) ou via loaders como PrivateLoader e SmokeLoader; usuario executa arquivo malicioso ([[t1204-002-malicious-file|T1204.002]]) 2. **Evasão inicial:** Código ofuscado ([[t1027-obfuscated-files-or-information|T1027]]) com strings criptografadas - melhoria sobre o RedLine em termos de detecção AV 3. **Reconhecimento:** Fingerprinting do sistema ([[t1082-system-information-discovery|T1082]]), enumeracao de AV ([[t1518-001-security-software-discovery|T1518.001]]) e verificação de localidade ([[t1614-system-location-discovery|T1614]]) com geofencing anti-CIS 4. **Harvest de browsers:** Extrai senhas salvas, cookies, historico e cartoes de credito de browsers Chromium e Firefox ([[t1555-003-credentials-from-web-browsers|T1555.003]], [[t1539-steal-web-session-cookie|T1539]]) 5. **Crypto e aplicativos:** Coleta extensoes de browser de carteiras, clientes FTP, VPN, email, Discord, Steam 6. **Coleta de arquivos:** Busca arquivos por extensao configuravel ([[t1083-file-and-directory-discovery|T1083]]) 7. **Exfiltração:** Envia dados coletados via HTTP para C2 do operador ([[t1041-exfiltration-over-c2-channel|T1041]]) ```mermaid graph TB A["Phishing / PrivateLoader<br/>T1566.001 entrega"] --> B["META Stealer<br/>Execução T1204.002"] B --> C["Ofuscacao / Anti-AV<br/>T1027 - melhor que RedLine"] C --> D["Reconhecimento<br/>T1082 + T1518 + T1614"] D --> E{"Geofencing CIS<br/>Sistema russo? Para."} E --> |"Nao CIS"| F["Browser harvest<br/>T1555.003 + T1539"] F --> G["Crypto wallets<br/>Extensoes browser"] G --> H["Aplicativos<br/>FTP / VPN / Discord / Steam"] H --> I["Coleta de arquivos<br/>T1083 - Extensoes config"] I --> J["Exfiltração HTTP<br/>T1041 - C2 do operador"] ``` ## Timeline de Eventos ```mermaid timeline title META Stealer - Surgimento e Variantes 2022-mar : META Windows lancado no Exploit.in : Posicionado como substituto do RedLine 2022 : Adocao rapida por operadores do ecossistema RedLine : Vendido como MaaS com suporte ativo 2023-set : MetaStealer macOS descoberto pela SentinelOne : Familia separada Go-based para empresas macOS 2023 : KELA Research publica análise detalhada : Confirmada separacao entre as duas familias 2024 : META Windows continua ativo em campanhas MaaS : MetaStealer macOS usado em spearphishing B2B 2025 : Ambas as variantes ativas em campanhas distintas ``` ## Técnicas Utilizadas | Técnica | Descrição | |---------|-----------| | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Extrai senhas, cookies e dados de browsers | | [[t1539-steal-web-session-cookie\|T1539]] | Rouba cookies de sessao de contas ativas | | [[t1082-system-information-discovery\|T1082]] | Fingerprinting completo do sistema | | [[t1005-data-from-local-system\|T1005]] | Coleta dados locais - wallets, apps, arquivos | | [[t1041-exfiltration-over-c2-channel\|T1041]] | Exfiltração HTTP para C2 do operador | | [[t1566-001-spearphishing-attachment\|T1566.001]] | Phishing com anexo como vetor de entrega | | [[t1204-002-malicious-file\|T1204.002]] | Usuario executa arquivo malicioso | | [[t1614-system-location-discovery\|T1614]] | Geofencing anti-CIS | | [[t1518-001-security-software-discovery\|T1518.001]] | Detecção de AV instalado | | [[t1027-obfuscated-files-or-information\|T1027]] | Código ofuscado com melhor evasão que RedLine | | [[t1083-file-and-directory-discovery\|T1083]] | Busca arquivos com extensoes de interesse | ## Grupos que Usam Vendido como MaaS - qualquer operador pode adquirir acesso ao META Stealer. Popularidade especialmente alta entre operadores migrando do [[s1240-redline-stealer|RedLine]] por conta da melhor evasão de AV reportada. ## Impacto no Brasil e LATAM O META Stealer representa o mesmo perfil de ameaça do [[s1240-redline-stealer|RedLine]] - credenciais de browser, cookies de sessao e dados de carteiras de criptomoeda. Para o Brasil, o risco e equivalente ao RedLine mas com potencial evasão superior a algumas defesas que detectam o RedLine específicamente. A variante macOS (MetaStealer) e particularmente relevante para startups e empresas de tecnologia brasileiras que usam MacBooks como plataforma padrao. O vetor de engenharia social B2B - se passar por potencial cliente - e altamente eficaz em ambientes corporativos onde propostas comerciais sao rotineiramente recebidas de contatos desconhecidos. ## Detecção - Detectar acesso ao banco de dados SQLite de browsers (Login Data, Cookies) por processos nao-browser - Monitorar comunicação HTTP POST com payload estruturado por processos nao-usuario - No macOS: alertar para aplicativos DMG de fontes nao-identificadas solicitando permissoes de acesso ao Keychain - Implementar politica de quarentena para arquivos Office com macros e scripts embutidos - Usar filtro de email com sandbox para detectar anexos maliciosos antes da entrega - Regras de detecção: consultar [[m1049-antivirus-antimalware|M1049 - Antivirus/Antimalware]] e [[m1031-network-intrusion-prevention|M1031 - Prevenção de Intrusão de Rede]] ## Referências - [KELA Research - META Stealer Spotlight](https://www.kelacyber.com/blog/stealers-in-the-spotlight-meta-infostealer/) - [SentinelOne - MetaStealer macOS (2023)](https://www.sentinelone.com/labs/metastealer-targeting-businesses-with-swift-macos-malware/) - [ANY.RUN - META Stealer Analysis](https://any.run/malware-trends/meta-stealer) - [VMware - META Stealer Fork of RedLine](https://blogs.vmware.com/security/2023/02/meta-stealer-a-recent-fork-of-redline-with-new-obfuscation-capabilities.html) - [CISA - Infostealer Malware Overview](https://www.cisa.gov/news-events/cybersecurity-advisories)