# Troll Stealer > Tipo: **malware** · S1196 · [MITRE ATT&CK](https://attack.mitre.org/software/S1196) ## Descrição [[s1196-troll-stealer|Troll Stealer]] é um information stealer escrito em Go associado às operações do [[g0094-kimsuky|Kimsuky]]. Normalmente é distribuído por meio de um dropper disfarçado como arquivo de instalação de um programa de segurança legítimo. O [[s1196-troll-stealer|Troll Stealer]] apresenta código semelhante ao [[s0622-appleseed|AppleSeed]], também exclusivamente associado às operações do [[g0094-kimsuky|Kimsuky]]. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1132-001-standard-encoding|T1132.001 - Standard Encoding]] - [[t1027-002-software-packing|T1027.002 - Software Packing]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1553-002-code-signing|T1553.002 - Code Signing]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1552-004-private-keys|T1552.004 - Private Keys]] - [[t1560-archive-collected-data|T1560 - Archive Collected Data]] - [[t1213-data-from-information-repositories|T1213 - Data from Information Repositories]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] ## Grupos que Usam - [[g0094-kimsuky|Kimsuky]] ## Referências - [MITRE ATT&CK - S1196](https://attack.mitre.org/software/S1196)