t1555-003-credentials-from-web-browsers

# T1555.003 - Credentials from Web Browsers ## Técnica Pai Esta é uma sub-técnica de [[t1555-credentials-from-password-stores|T1555 - T1555 - Credentials from Password Stores]]. ## Descrição Adversários exploram o hábito dos navegadores de salvar credenciais localmente para extrair senhas em texto claro sem interação do usuário. Os navegadores modernos - Chrome, Firefox, Edge, Safari - armazenam login e senha em bancos de dados SQLite criptografados, mas a chave de descriptografia é derivada das credenciais da sessão do próprio sistema operacional, o que torna a extração trivial para qualquer processo rodando no contexto do usuário comprometido. No Windows, o Chrome protege o banco `Login Data` com a API `CryptUnprotectData`, que libera os dados para qualquer processo autenticado como o mesmo usuário - sem necessidade de privilégios elevados. A técnica é especialmente valiosa em ambientes corporativos onde funcionários salvam credenciais de sistemas internos, VPNs, painéis de administração e portais SaaS diretamente no navegador. Uma única estação comprometida pode resultar na exposição de dezenas de senhas reutilizadas, incluindo contas com acesso privilegiado. Além do banco de senhas, adversários também vasculham a memória do processo do navegador em execução para capturar tokens de sessão e cookies de autenticação, contornando MFA em muitos casos. **Contexto Brasil/LATAM:** O Brasil concentra um dos maiores ecossistemas de malware bancário do mundo, com famílias como [[s1122-mispadu|Mispadu]], [[s0528-javali|Javali]] e [[g1026-malteiro|Malteiro]] amplamente documentadas pelo uso desta técnica contra usuários de bancos brasileiros. O grupo [[g1026-malteiro|Malteiro]], operando exclusivamente contra o setor financeiro brasileiro, utiliza T1555.003 como etapa central da cadeia de ataque para roubo de credenciais de internet banking e portais corporativos. A baixa adoção de gerenciadores de senha dedicados nas empresas brasileiras torna o vetor especialmente eficaz na região. ## Attack Flow ```mermaid graph TB A([Acesso Inicial]) --> B([Reconhecimento Local]) B --> C{T1555.003\nExtração de\nCredenciais}:::highlight C --> D([Movimento Lateral]) D --> E([Persistência / Exfiltração]) classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b,stroke-width:2px ``` ## Como Funciona **1. Preparação** O adversário obtém execução de código no contexto do usuário alvo - normalmente via [[t1566-phishing|Phishing]] (T1566), [[t1204-user-execution|User Execution]] (T1204) ou exploração de vulnerabilidade. Não são necessários privilégios de administrador para acessar os arquivos de credencial do próprio usuário. O malware identifica os navegadores instalados verificando caminhos padrão em `AppData\Local\`, `AppData\Roaming\` (Windows) ou `~/Library/Application Support/` (macOS). **2. Execução** No Windows, o processo abre uma cópia do banco SQLite `Login Data` do Chrome (o arquivo original fica bloqueado pelo navegador aberto, então o malware o copia para um diretório temporário) e executa a query `SELECT action_url, username_value, password_value FROM logins`. As senhas armazenadas como blob criptografado são então passadas à função `CryptUnprotectData` da WinAPI, que as devolve em texto claro usando as credenciais cacheadas do usuário logado. Para Firefox, o processo lê os arquivos `key4.db` e `logins.json` e decripta usando a senha mestre (quando ausente, os dados ficam expostos sem autenticação adicional). Adversários sofisticados também fazem dump da memória do processo `chrome.exe` ou `firefox.exe` para capturar tokens de sessão ativos. **3. Pós-execução** As credenciais extraídas são consolidadas em um arquivo local ou transmitidas diretamente ao servidor C2 via canal criptografado ([[t1573-002-asymmetric-cryptography|T1573.002]]). O adversário testa as credenciais contra outros sistemas internos ([[t1021-remote-services|T1021]]) e serviços externos (e-mail corporativo, VPN, portais de nuvem), expandindo o acesso lateral. Credenciais de contas privilegiadas encontradas no navegador podem resultar em escalonamento imediato para administrador de domínio. ## Detecção **Event IDs relevantes (Windows):** | Event ID | Fonte | Descrição | |----------|-------|-----------| | 4663 | Security | Acesso a objeto - leitura do arquivo `Login Data` do Chrome | | 4656 | Security | Tentativa de abertura de handle para arquivo de credencial de browser | | 10 | Sysmon | ProcessAccess - processo acessando memória do navegador (dump de processo) | | 1 | Sysmon | Criação de processo com linha de comando referênciando perfis de browser | | 7 | Sysmon | Carga de módulo de criptografia (`crypt32.dll`) por processo suspeito | **Sigma Rule:** ```yaml title: Credential Extraction from Browser Login Data id: a7f3b921-4d12-4e8a-b6c1-8e3f1d9a2c47 status: experimental description: Detecta acesso a banco de dados de credenciais de navegadores por processos não autorizados author: RunkIntel daté: 2026-03-24 logsource: product: windows category: file_access detection: selection: TargetFilename|contains: - '\Google\Chrome\User Data\Default\Login Data' - '\Mozilla\Firefox\Profiles\' - '\Microsoft\Edge\User Data\Default\Login Data' - '\BraveSoftware\Brave-Browser\User Data\Default\Login Data' filter_legitimate: Image|endswith: - '\chrome.exe' - '\firefox.exe' - '\msedge.exe' - '\brave.exe' condition: selection and not filter_legitimate falsepositives: - Ferramentas de backup legítimas - Softwares de gerenciamento de endpoint level: high tags: - attack.credential_access - attack.t1555.003 ``` ## Mitigação | Controle | Mitigação MITRE | Recomendação para Organizações Brasileiras | |----------|-----------------|-------------------------------------------| | Gerenciador de senhas corporativo | [[m1027-password-policies\|M1027 - Password Policies]] | Proibir salvamento de senhas nos navegadores via GPO; adotar solução centralizada (ex: Keeper, 1Password Business, Bitwarden Teams) | | Bloqueio de acesso a perfis de browser | [[m1018-user-account-management\|M1018 - User Account Management]] | Restringir leitura dos diretórios `AppData\Local\*\User Data` para processos não autorizados via SACL/ACL de sistema de arquivos | | Treinamento de usuário final | [[m1017-user-training\|M1017 - User Training]] | Conscientização sobre riscos de salvar senhas no browser, especialmente em ambientes onde acesso a sistemas bancários e ERP é crítico | | Atualização de navegadores | [[m1051-update-software\|M1051 - Updaté Software]] | Manter navegadores atualizados; versões recentes do Chrome implementam App-Bound Encryption que dificulta extração por processos de baixo privilégio | | Restrição de extensões | [[m1021-restrict-web-based-content\|M1021 - Restrict Web-Based Content]] | Bloquear instalação de extensões não aprovadas via política corporativa - extensões maliciosas também têm acesso às credenciais salvas | ## Threat Actors - [[g0040-patchwork|Patchwork]] - grupo de espionagem sul-asiático que utiliza esta técnica em campanhas de coleta de credenciais contra alvos governamentais e de pesquisa - [[g0096-apt41|APT41]] - grupo chinês com motivação dupla (espionagem + crime financeiro) que usa extração de credenciais de browser como etapa de movimento lateral em redes corporativas comprometidas - [[g0128-zirconium|ZIRCONIUM]] - APT chinês (também conhecido como APT31) que emprega a técnica em campanhas de espionagem política e coleta de propriedade intelectual - [[g1026-malteiro|Malteiro]] - grupo brasileiro focado em fraude bancária; usa variantes desta técnica adaptadas para capturar credenciais de internet banking e portais corporativos no Brasil - [[g0022-apt3|APT3]] - grupo chinês inativo que foi um dos primeiros a documentar uso sistemático de extração de browser em operações de espionagem - [[g0064-apt33|APT33]] - grupo iraniano (Elfin) que usa a técnica contra alvos no setor de energia e defesa - [[g0038-stealth-falcon|Stealth Falcon]] - grupo vinculado aos Emirados Árabes que empregou ferramentas de extração de browser em operações de vigilância - [[g0077-leafminer|Leafminer]] - ator iraniano que extraiu credenciais de browser em campanhas contra o Oriente Médio - [[g0067-apt37|APT37]] - grupo norte-coreano (Reaper) que usa a técnica em campanhas de espionagem contra alvos sul-coreanos e internacionais - [[g0034-sandworm|Sandworm Team]] - grupo russo do GRU que combina extração de credenciais de browser com ataques destrutivos de longo alcance ## Software Associado - [[s0385-njrat|njRAT]] - RAT amplamente usado no LATAM com módulo nativo de extração de credenciais de browser; frequentemente distribuído via phishing com tema financeiro no Brasil - [[s1246-beavertail|BeaverTail]] - infostealer associado ao [[g0034-sandworm|Sandworm Team]] com capacidade de extração de múltiplos browsers - [[s0089-blackenergy|BlackEnergy]] - malware russo com plugin específico para extração de credenciais de browser, usado em ataques a infraestrutura crítica - [[s0132-h1n1|H1N1]] - malware que combina extração de browser com capacidades de worm para propagação lateral em redes corporativas - [[s1122-mispadu|Mispadu]] - trojan bancário latino-americano com foco no Brasil e México que extrai credenciais de Chrome e Firefox - [[s0434-imminent-monitor|Imminent Monitor]] - ferramenta de acesso remoto comercial adaptada para uso malicioso com módulo de credential harvesting de browsers - [[s0365-olympic-destroyer|Olympic Destroyer]] - malware destrutivo que incluiu extração de credenciais de browser como mecanismo de movimento lateral antes de disparar carga destrutiva - [[s0528-javali|Javali]] - trojan bancário brasileiro (família Tetrade) especializado em interceptar credenciais de portais bancários brasileiros via browser hooking - [[cookieminer|CookieMiner]] - malware macOS que combina extração de cookies de browser com roubo de carteiras de criptomoedas - [[s1042-sugardump|SUGARDUMP]] - infostealer associado ao [[g1044-apt42|APT42]] com capacidade de exfiltração de credenciais de browsers via protocolo criptografado --- *Fonte: [MITRE ATT&CK - T1555.003](https://attack.mitre.org/techniques/T1555/003)*