# LaZagne > Tipo: **credential-harvester** · S0349 · [MITRE ATT&CK](https://attack.mitre.org/software/S0349) ## Descrição [[s0349-lazagne|LaZagne]] é uma ferramenta open-source de coleta de credenciais desenvolvida inicialmente como projeto de segurança ofensiva e disponibilizada públicamente no GitHub, mas amplamente adotada por atores maliciosos de todos os níveis de sofisticação, desde grupos APT como [[g0064-apt33|APT33]] e [[g0032-lazarus-group|Lazarus Group]] até operadores de ransomware. O [[s0349-lazagne|LaZagne]] é um dos coletores de credenciais mais utilizados em operações reais de comprometimento, capaz de extrair senhas de mais de 30 categorias de software em Windows e Linux. O [[s0349-lazagne|LaZagne]] recupera credenciais de uma vasta gama de fontes: navegadores web ([[t1555-003-credentials-from-web-browsers|T1555.003]]), Windows Credential Manager ([[t1555-004-windows-credential-manager|T1555.004]]), gerenciadores de FTP, clientes de email, clientes VPN, chaves SSH, bases de dados (MySQL, PostgreSQL, Oracle) e repositórios de senhas em memória via LSASS ([[t1003-001-lsass-memory|T1003.001]]). Implementado em Python ([[t1059-006-python|T1059.006]]) com suporte a compilação para executável standalone (PyInstaller), o [[s0349-lazagne|LaZagne]] pode ser executado sem instalação de Python no sistema-alvo. Versões compiladas são frequentemente ofuscadas ([[t1027-obfuscated-files-or-information|T1027]]) para evadir antivírus. O [[s0349-lazagne|LaZagne]] é tipicamente utilizado na fase de pós-comprometimento após o acesso inicial, como parte de um conjunto de ferramentas de reconhecimento interno e movimentação lateral. As credenciais coletadas são exfiltradas pelo canal C2 ([[t1041-exfiltration-over-c2-channel|T1041]]) ou via PowerShell ([[t1059-001-powershell|T1059.001]]) para coleta direta. Sua natureza open-source e disponibilidade gratuita o tornaram uma ferramenta onipresente em incidentes de segurança - pesquisas indicam que o [[s0349-lazagne|LaZagne]] está presente em uma parcela significativa de todos os incidentes de comprometimento investigados por respondedores de incidente. **Plataformas:** Linux, Windows, macOS ## Técnicas Utilizadas - [[t1555-credentials-from-password-stores|T1555 - Credentials from Password Stores]] - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] - [[t1555-004-windows-credential-manager|T1555.004 - Windows Credential Manager]] - [[t1003-001-lsass-memory|T1003.001 - LSASS Memory]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1059-006-python|T1059.006 - Python]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] ## Grupos que Usam - [[g0064-apt33|APT33]] - [[g0032-lazarus-group|Lazarus Group]] - [[g0059-magic-hound|Magic Hound]] ## Detecção Detecção do [[s0349-lazagne|LaZagne]] requer monitoramento de acesso a credenciais em múltiplas fontes simultaneamente. Indicadores-chave: processos Python ou executáveis PyInstaller acessando múltiplos perfis de navegadores em sequência rápida; leitura de LSASS por processos não-LSASS (detectável por EDR e Credential Guard no Windows 10+); e acesso a arquivos de configuração de múltiplas aplicações (FTP, SSH, VPN) em curto intervalo. Regras YARA para binários PyInstaller com strings do [[s0349-lazagne|LaZagne]] são amplamente disponíveis. Windows Credential Guard e Protected Users security group mitigam coleta de credenciais de memória LSASS. ## Relevância LATAM/Brasil O [[s0349-lazagne|LaZagne]] é amplamente utilizado em incidentes de comprometimento no Brasil, sendo identificado regularmente em investigações de resposta a incidentes envolvendo ransomware, fraude bancária e espionagem corporativa. A disponibilidade gratuita e facilidade de uso tornam o [[s0349-lazagne|LaZagne]] uma ferramenta de escolha para atores de cibercrime locais e internacionais que operam contra alvos brasileiros. Organizações brasileiras que adotam gerenciadores de senha corporativos e autenticação multi-fator reduzem significativamente o impacto de uma execução bem-sucedida do [[s0349-lazagne|LaZagne]] em seus ambientes. ## Referências - [MITRE ATT&CK - S0349](https://attack.mitre.org/software/S0349)