predator-stealer - RunkIntel

# Predator Stealer - O Ladrão de Credenciais Veterano com Variante .NET e C2 por Telegram > **ATIVO (variantes em evolução) | Infostealer MaaS | Windows | Global** - Predator Stealer (alias "Predator the Thief") e um infostealer MaaS veterano ativo desde **2018**, originalmente desenvolvido como projeto rico em funcionalidades para roubo de credenciais de browsers, crypto wallets, VPNs, FTP clients e aplicativos de mensagens. Em 2022, uma variante **.NET significativa** emergiu utilizando **bots Telegram como canal de exfiltração C2**, eliminando a necessidade de painel web tradicional e tornando a infraestrutura de C2 extremamente barata e resiliente. > [!danger] C2 via Telegram em 2022+ > A variante .NET de 2022 exfiltra dados diretamente para um **bot Telegram controlado pelo atacante**. Isso significa que a infraestrutura de C2 custa zero (Telegram e gratuito), e o takedown e práticamente impossível sem cooperação do Telegram. Tokens roubados chegam em segundos ao atacante via notificacoes push. ## Visão Geral **Predator Stealer** e um infostealer com longa historia no ecossistema de cibercrime underground russo. O projeto original de 2018 foi construido com um painel C2 proprietario e vendido nos formatos tipicos da epoca (licenca mensal ou por compilacao). O stealer distinguia-se pela amplitude de alvos: alem de browsers, atacava também **clientes VPN** (NordVPN, ProtonVPN, OpenVPN), **clientes FTP** (FileZilla, WinSCP), **clientes de email** (Thunderbird, Outlook), e **aplicativos de gaming** (Steam, Battle.net). A evolução mais significativa foi a variante **.NET de 2022**, que adotou Telegram como canal de exfiltração - uma tendencia crescente entre stealers de baixo custo que dispensa a necessidade de hospedar paineis C2, reduzindo dramaticamente o custo operacional para criminosos. | Campo | Detalhe | |-------|---------| | **Tipo** | Infostealer MaaS | | **Linguagem** | C/C++ (original 2018) + .NET (variante 2022+) | | **Primeira observacao** | 2018 | | **Status** | Ativo - variantes em circulacao | | **C2** | Painel web (original) / Bot Telegram (variante 2022) | | **Alvos especiais** | VPNs, FTP clients, gaming, cripto | ## Visão Geral Técnica ### Variante Original (2018-2021) - C/C++ **Browser credential theft:** - Chromium-based browsers: credenciais via DPAPI, cookies, historico, autofill ([[t1555-003-credentials-from-browsers|T1555.003]]) - Gecko-based (Firefox): credenciais de `logins.json` e `key4.db` - Internet Explorer / Edge Legacy: Windows Credential Manager ([[t1555-004-windows-credential-manager|T1555.004]]) **Alvos especializados:** - **VPN clients**: NordVPN, ProtonVPN, OpenVPN, Windscribe - credenciais de autenticação - **FTP clients**: FileZilla configs, WinSCP sessions - **Email clients**: Microsoft Outlook, Thunderbird (senhas IMAP/SMTP) - **Gaming**: Steam sessao (ssfn), Battle.net cache - **Crypto wallets**: Electrum, Jáxx, Exodus, MetaMask, Ethereum Keystore **Anti-análise:** - Verificação de debugger ativo ([[t1497-virtualizationsandbox-evasion|T1497]]) - Verificação de VM por processos: vmtoolsd.exe, vmwaretray.exe, vboxservice.exe - Verificação de sandbox por username: "sandbox", "virus", "malware" - Sleep delay antes de execução principal ### Variante .NET (2022+) - Exfiltração por Telegram A variante .NET simplificou drasticamente a infraestrutura: - Construido em **.NET Framework 4.x** - mais facil de desenvolver/modificar mas detectavel por AV - **Telegram Bot API**: dados exfiltrados diretamente via `api.telegram.org/bot{TOKEN}/sendDocument` ([[t1071-001-web-protocols|T1071.001]]) - Empacota dados em arquivo ZIP com timestamp - Envia ZIP como documento via Telegram bot para chat ID do operador - Sem painel web - operador recebe notificacoes push imediatas ([[t1020-automated-exfiltration|T1020]]) - Capacidade de download de payloads adicionais ([[t1105-ingress-tool-transfer|T1105]]) ### Cadeia de Infecção ```mermaid graph TB A["📧 Phishing / Malvertising Attachment malicioso ou installer falso"] --> B["⚙️ Execução do dropper Verificacoes anti-análise VM / Debugger / Sandbox"] B --> C{"Anti-análise passou?"} C -->|"Sim"| D["🔍 Reconhecimento Screenshot desktop Info hardware e OS"] C -->|"Nao"| Z["❌ Termina silenciosamente"] D --> E["🍪 Coleta browsers Chromium + Firefox DPAPI + sqlite"] E --> F["🔑 Alvos especiais VPN + FTP + Email Gaming + Crypto wallets"] F --> G["📦 Empacota em ZIP Screenshot + logs Timestamp no nome"] G --> H["📱 Exfiltra via Telegram Bot API sendDocument Notificação push instantanea"] ``` ## Timeline ```mermaid timeline title Predator Stealer - Historico 2018 : Lancamento original em underground russo : C/C++ com painel web 2019 : Kaspersky documenta campanha ativa : Alvos VPN e FTP diferenciados 2020 : Versoes 2.3 e 3.3.4 documentadas por Fortinet : Anti-análise aprimorado 2021 : Reducao de atividade - concorrentes emergem 2022 : Nova variante .NET : Migracao para Telegram C2 2022-03 : CERT-UA documenta uso em campanha contra Ucrania 2023 : Variantes continuam circulando : Detectado por ThreatFox regularmente 2024-2025 : IoCs ativos no ThreatFox : Baixo volume mas persistente ``` ## TTPs MITRE ATT&CK | ID | Técnica | Uso | |----|---------|-----| | [[t1566-001-spearphishing-attachment\|T1566.001]] | Spearphishing Attachment | Documentos maliciosos em campanhas phishing | | [[t1204-002-malicious-file\|T1204.002]] | Malicious File | Usuario executa dropper ou installer falso | | [[t1497-virtualizationsandbox-evasion\|T1497]] | Sandbox Evasion | Checks de VM, debugger e nomes de usuario | | [[t1555-003-credentials-from-browsers\|T1555.003]] | Credentials from Browsers | Chromium DPAPI + Firefox sqlite | | [[t1539-steal-web-session-cookie\|T1539]] | Steal Web Session Cookie | Cookies de sessao para account takeover | | [[t1555-004-windows-credential-manager\|T1555.004]] | Windows Credential Manager | Edge Legacy e IE credentials | | [[t1082-system-information-discovery\|T1082]] | System Information Discovery | Hardware ID, OS, usuario, screenshot | | [[t1113-screen-capture\|T1113]] | Screen Capture | Screenshot no inicio da execução | | [[t1071-001-web-protocols\|T1071.001]] | Web Protocols | Telegram Bot API para exfiltração | | [[t1020-automated-exfiltration\|T1020]] | Automated Exfiltration | ZIP automatico enviado via Telegram bot | | [[t1105-ingress-tool-transfer\|T1105]] | Ingress Tool Transfer | Download de payloads adicionais | ## Alvos por Categoria | Categoria | Aplicativos Alvo | |-----------|-----------------| | Browsers Chromium | Chrome, Edge, Brave, Opera, Vivaldi - senhas, cookies, historico | | Browsers Firefox | Firefox, Waterfox - logins.json, key4.db | | VPN Clients | NordVPN, ProtonVPN, OpenVPN, Windscribe - credenciais | | FTP Clients | FileZilla, WinSCP - configuracoes e sessoes | | Email | Outlook, Thunderbird - contas IMAP/SMTP | | Gaming | Steam (ssfn), Battle.net | | Crypto | Electrum, Exodus, MetaMask extensao, Ethereum Keystore | | Mensagens | Discord tokens, Telegram sessao | ## Impacto no Brasil / LATAM Predator Stealer afeta o Brasil principalmente via canais de distribuição genericos (malspam, pirataria): - **VPN credentials**: A coleta de credenciais VPN e particularmente relevante no Brasil onde o uso de VPN empresarial cresceu significativamente pos-pandemia - **Campanha Ucrania 2022**: O CERT-UA documentou uso do Predator .NET contra organizacoes ucranianas em marco de 2022, após o inicio da guerra - demonstrando uso como ferramenta de espionagem alem do cibercrime - **Telegram exfil**: O uso do Telegram como canal de exfiltração dificulta o bloqueio em ambientes corporativos que permitem o app de mensagens > [!info] Relevância Operacional > A variante .NET com Telegram C2 e de particular preocupacao para equipes de SOC porque o trafego Telegram legitimo e dificil de distinguir do malicioso. Solucoes de DLP e CASB que inspecionam uploads para o Telegram sao especialmente relevantes. ## Detecção e Caca a Ameaças ### Indicadores Comportamentais - Processo .NET acessando arquivos SQLite de browsers fora do contexto do browser - Conexoes para `api.telegram.org` por processos que nao sao o app Telegram - Criação de arquivo ZIP com dados de credenciais em pasta temporaria - Processo verificando `vmtoolsd.exe`, `vboxservice.exe` via EnumProcesses - Acesso a pasta de config do FileZilla (`%APPDATA%\FileZilla\sitemanager.xml`) por processo suspeito ### KQL - Microsoft Sentinel ```kusto // Predator: exfiltração via Telegram por processo nao-Telegram DeviceNetworkEvents | where RemoteUrl has "api.telegram.org" | where InitiatingProcessFileName !in~ ("Telegram.exe", "telegram.exe", "updater.exe") | project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessFolderPath, RemoteUrl, RemotePort | sort by Timestamp desc ``` ```kusto // Predator: acesso a arquivos VPN/FTP por processo suspeito DeviceFileEvents | where FileName in~ ("sitemanager.xml", "recentservers.xml", "user.config") | where FolderPath has_any ("FileZilla", "WinSCP", "NordVPN", "ProtonVPN", "OpenVPN") | where InitiatingProcessFileName !in~ ("filezilla.exe", "winscp.exe", "nordvpn.exe") | project Timestamp, DeviceName, InitiatingProcessFileName, FileName, FolderPath ``` ## Referências - [Fortinet - Predator the Thief Technical Analysis](https://www.fortinet.com/blog/threat-research/predator-the-thief) - [Kaspersky - Predator Stealer Campaign](https://securelist.com/predator-the-thief-stealer/91960/) - [CERT-UA - Predator .NET Campaign (2022)](https://cert.gov.ua/article/38606) - [ANY.RUN - Predator Stealer Samples](https://any.run/malware-trends/predator_stealer) - [ThreatFox - Predator IoCs](https://threatfox.abuse.ch/browse/malware/win.predator_the_thief/)