stealc - RunkIntel

# StealC > Tipo: **infostealer MaaS** - [Qualys Threat Research](https://blog.qualys.com/vulnerabilities-threat-research/2023/03/27/stealc-a-copycat-of-vidar-raccoon-mars-and-redline-infostealers) > [!warning] Stealer Modular de Rapida Adocao > StealC surgiu em janeiro de 2023 como um stealer MaaS fortemente inspirado em [[vidar-stealer|Vidar]], [[s1148-raccoon-stealer|Raccoon]] e [[s1240-redline-stealer|RedLine]], vendido por $200/mes em forums como Exploit.in e XSS. Em 2024, tornou-se um dos stealers mais distribuidos globalmente, com versao 2.0 adicionando bypass do Chrome App-Bound Encryption - tornando-o capaz de roubar cookies de sessao mesmo com as protecoes mais recentes do Chrome. ## Visão Geral [[stealc|StealC]] e um infostealer comercial (MaaS) desenvolvido por um ator conhecido como "Plymouth", lancado em janeiro de 2023 em forums clandestinos russos (Exploit.in e XSS) pelo preco de $200/mes ou $1.000 por licenca permanente. O malware se posicionou explicitamente como substituto e melhoria dos stealers estabelecidos como [[vidar-stealer|Vidar]], [[s1148-raccoon-stealer|Raccoon]], [[mars-stealer|Mars]] e [[s1240-redline-stealer|RedLine]], adotando as melhores caracteristicas de cada um. O diferencial tecnico mais significativo do StealC v2 (lancado em 2024) e o **bypass do Chrome App-Bound Encryption** - um mecanismo de segurança introducido pelo Google para proteger cookies de sessao. Com este bypass, o StealC consegue roubar cookies de autenticação de contas Google, Microsoft 365 e plataformas corporativas mesmo em usuarios que nunca foram enganados a digitar suas senhas. O StealC e distribuido principalmente via **PrivateLoader** e campanhas de malvertising, com foco em roubar credenciais de browsers, carteiras de criptomoedas, aplicativos de mensagens e fazer capturas de tela. Seus alvos incluem mais de 35 browsers, 75 plugins de browser, 25 aplicativos desktop e 9 clientes de email. **Plataformas:** Windows ## Como Funciona O StealC opera de forma rapida e objetiva - foco em velocidade de exfiltração antes da detecção: 1. **Entrega:** Distribuido via [[privateloader|PrivateLoader]], malvertising (anuncios maliciosos que redirecionam para downloads), ou como payload de segundo estagio pelo [[s1025-amadey|Amadey]] e outros loaders 2. **Fingerprinting inicial:** Coleta informações do sistema ([[t1082-system-information-discovery|T1082]]), verifica presenca de AV ([[t1518-001-security-software-discovery|T1518.001]]) e checa localidade ([[t1614-system-location-discovery|T1614]]) - evita sistemas configurados para russo ou paises CIS 3. **Coleta de browsers:** Extrai senhas salvas, cookies de sessao, historico de navegacao e dados de autopreenchimento de 35+ browsers ([[t1555-003-credentials-from-web-browsers|T1555.003]]) 4. **Bypass App-Bound Encryption:** Em browsers Chromium recentes, usa técnica especial para extrair cookies protegidos pelo Chrome App-Bound Encryption ([[t1539-steal-web-session-cookie|T1539]]) 5. **Plugins de browser:** Coleta seeds/chaves de 75+ extensoes de carteiras de criptomoedas (MetaMask, Coinbase Wallet, etc.) 6. **Aplicativos desktop:** Coleta credenciais de 25 aplicativos incluindo Steam, Discord, FileZilla, Telegram 7. **Arquivos por extensao:** Busca e exfiltra arquivos com extensoes configuradas (.txt, .doc, .pdf, .key, etc.) ([[t1083-file-and-directory-discovery|T1083]]) 8. **Screenshot:** Captura tela do sistema no momento da execução ([[t1113-screen-capture|T1113]]) 9. **Exfiltração:** Envia todos os dados coletados para C2 via HTTP POST ([[t1041-exfiltration-over-c2-channel|T1041]]) e auto-deleta ```mermaid graph TB A["PrivateLoader / Malvertising Entrega inicial"] --> B["StealC Dropper Inicializacao"] B --> C["Fingerprinting T1082 + T1518 + T1614"] C --> D{"CIS geofencing Russo? Para."} D --> |"Nao CIS"| E["Browser credential harvest T1555.003 - 35+ browsers"] E --> F["App-Bound Encryption bypass T1539 - Chrome cookies 2024"] F --> G["Crypto wallets 75+ extensoes MetaMask etc"] G --> H["Aplicativos desktop Steam / Discord / Telegram"] H --> I["Coleta de arquivos T1083 - Extensoes configuradas"] I --> J["Screenshot T1113 - Captura de tela"] J --> K["Exfiltração C2 T1041 - HTTP POST"] K --> L["Auto-delecao Limpeza de artefatos"] ``` ## Timeline de Eventos ```mermaid timeline title StealC - Lancamento e Evolução 2023-ján : Lancamento no forum Exploit.in : Vendido por Plymouth a $200/mes 2023-mar : Qualys publica análise detalhada : Comparacao com Vidar/Raccoon/RedLine 2023 : Adocao rapida por multiplos operadores : Distribuição via PrivateLoader em escala 2024 : StealC v2 lancado : Bypass do Chrome App-Bound Encryption : Torna-se um dos top-5 stealers por volume 2025 : Continua ativo com atualizacoes regulares : Integrado em campanha Emmenhtal ``` ## Técnicas Utilizadas | Técnica | Descrição | |---------|-----------| | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Extrai senhas salvas de 35+ browsers Chromium e Firefox | | [[t1539-steal-web-session-cookie\|T1539]] | Rouba cookies de sessao incluindo Chrome App-Bound | | [[t1552-001-credentials-in-files\|T1552.001]] | Busca credenciais armazenadas em arquivos do sistema | | [[t1082-system-information-discovery\|T1082]] | Fingerprinting inicial do sistema comprometido | | [[t1005-data-from-local-system\|T1005]] | Coleta dados locais - arquivos, aplicativos, wallets | | [[t1041-exfiltration-over-c2-channel\|T1041]] | Exfiltra tudo via HTTP POST para C2 | | [[t1083-file-and-directory-discovery\|T1083]] | Busca arquivos com extensoes de interesse (.doc, .key, etc.) | | [[t1518-001-security-software-discovery\|T1518.001]] | Verifica presenca de AV instalado | | [[t1614-system-location-discovery\|T1614]] | Geofencing - evita sistemas com localidade CIS | | [[t1027-obfuscated-files-or-information\|T1027]] | Strings e código ofuscados para evasão | | [[t1140-deobfuscatedecode-files-or-information\|T1140]] | Deofusca configuração e strings em runtime | | [[t1113-screen-capture\|T1113]] | Captura screenshot no momento da execução | ## Grupos que Usam Vendido como MaaS - qualquer operador com $200/mes pode usar o StealC. Distribuido principalmente via: - [[s1025-amadey|Amadey]] botnet como payload de segundo estagio - [[privateloader|PrivateLoader]] (servico PPI - Pay-Per-Install) - Campanhas de malvertising independentes ## Impacto no Brasil e LATAM O StealC e uma ameaça direta ao segmento corporativo e financeiro brasileiro por sua capacidade de roubar sessoes autenticadas sem necessitar das credenciais do usuario. Com o bypass do Chrome App-Bound Encryption, um funcionario brasileiro que acesse seu Microsoft 365 ou conta Google corporativa pode ter sua sessao roubada mesmo sem digitar a senha - o StealC extrai diretamente o cookie de autenticação armazenado no Chrome. Carteiras de criptomoedas sao alvo específico do StealC, e o Brasil possui um dos maiores mercados de cripto da América Latina, tornando usuarios e empresas que lidam com ativos digitais alvos de alto valor. A distribuição via malvertising - anuncios falsos de software popular - e um vetor extremamente comum no ambiente digital brasileiro. ## Detecção - Monitorar processos que acessam o arquivo de banco de dados SQLite do Chrome (`Login Data`, `Cookies`) fora do proprio browser - Alertar para leituras em massa de arquivos de credenciais de múltiplos browsers em sequencia rapida - Detectar comunicação HTTP POST para IPs externos com corpo codificado por processos suspeitos - Implementar proteção de endpoint com monitoramento de acesso a dados de browser (EDR) - Usar Chrome Enterprise com configuracoes de App-Bound Encryption forcadas - Regras de detecção: consultar [[m1054-software-configuration|M1054 - Configuração de Software]] e [[m1017-user-training|M1017 - Treinamento de Usuarios]] ## Referências - [Qualys - StealC Analysis (2023)](https://blog.qualys.com/vulnerabilities-threat-research/2023/03/27/stealc-a-copycat-of-vidar-raccoon-mars-and-redline-infostealers) - [SEKOIA.IO - StealC MaaS Profile](https://blog.sekoia.io/stealc-a-copycat-of-vidar-and-raccoon-infostealers-gaining-in-popularity-part-1/) - [ANY.RUN - StealC Malware Trends](https://any.run/malware-trends/stealc) - [Proofpoint - Chrome App-Bound Encryption bypass stealers](https://www.proofpoint.com/us/blog/threat-insight/credential-frenzy-stealers-bypass-chrome-app-bound-encryption) - [Recorded Future - Infostealer Market 2024](https://www.recordedfuture.com/research/2024-infostealer-malware-report)