# T1217 - Browser Information Discovery ## Descrição Adversários utilizam a técnica **T1217 - Browser Information Discovery** para enumerar dados armazenados pelos navegadores no sistema comprometido. Essas informações incluem histórico de navegação, favoritos salvos, senhas armazenadas em cache, cookies de sessão e contas autenticadas - uma mina de ouro para ataques de movimentação lateral e roubo de identidade. No contexto do **Brasil e da América Latina**, essa técnica é amplamente explorada por grupos de cibercrime financeiro como o [[g0082-apt38|APT38]] e por campanhas de malware bancário regionais. O malware [[s1122-mispadu|Mispadu]], desenvolvido para atacar usuários latinoamericanos, extrai específicamente credenciais bancárias armazenadas em navegadores como Chrome, Firefox e Edge - alvos frequentes de instituições financeiras brasileiras, portais governamentais e sistemas de gestão corporativa. O dado mais crítico exposto por esta técnica são as [[t1552-001-credentials-in-files|Credenciais em Arquivos]] cacheadas pelos navegadores. Um atacante com acesso ao perfil do usuário pode extrair hashes de senha, tokens OAuth e cookies de sessão sem nenhuma interação adicional com o usuário. Em ambientes corporativos brasileiros que usam SSO (Single Sign-On) integrado ao Microsoft 365 ou Google Workspace, a extração de um único cookie de sessão pode conceder acesso a toda a infraestrutura SaaS da organização. > [!warning] Relevância LATAM > Grupos como [[g1015-scattered-spider|Scattered Spider]] e [[g0117-fox-kitten|Fox Kitten]] utilizam dados de navegador para mapear portais de acesso remoto, ferramentas de gestão interna e URLs de VPN corporativa - etapa crítica antes de ataques de engenharia social dirigida e sequestro de contas. ## Attack Flow ```mermaid graph TB A([Acesso Inicial]) --> B([Execução no Host]) B --> C{Identificar Perfis\nde Navegador} C --> D[Chrome<br/>%APPDATA%/Google/Chrome] C --> E[Firefox<br/>%APPDATA%/Mozilla/Firefox] C --> F[Edge<br/>%APPDATA%/Microsoft/Edge] D --> G>information discovery:::highlight E --> G F --> G G --> H([Extrair Histórico<br/>e Favoritos]) G --> I([Extrair Credenciais<br/>Cacheadas]) G --> J([Extrair Cookies<br/>de Sessão]) H --> K([Mapear Infraestrutura<br/>Interna]) I --> L([Credential Stuffing<br/>Movimentação Lateral]) J --> M([Sequestro de Sessão<br/>SaaS / SSO]) classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona **Passo 1 - Localização dos artefatos do navegador** O adversário identifica os caminhos de armazenamento do perfil do navegador no sistema da vítima. No Windows, o Chrome armazena dados em `%LOCALAPPDATA%\Google\Chrome\User Data\Default\`; no Linux, em `~/.config/google-chrome/Default/`. O banco de dados `Login Data` (SQLite) contém credenciais salvas e o arquivo `Cookies` armazena sessões ativas. Ferramentas como [[s0363-empire|Empire]] e [[darkwatchman|DarkWatchman]] automatizam essa localização via enumeração de diretórios. **Passo 2 - Extração e decriptação dos dados** Credenciais armazenadas pelo Chrome são criptografadas com a DPAPI (Data Protection API) do Windows, vinculada ao perfil do usuário local. Um processo rodando no contexto do mesmo usuário pode descriptografar esses dados sem nenhum privilégio adicional. O malware [[s1246-beavertail|BeaverTail]], associado ao [[g1036-moonstone-sleet|Moonstone Sleet]], utiliza exatamente essa técnica para roubar credenciais sem acionar alertas de antivírus. **Passo 3 - Exfiltração e uso operacional** Os dados extraídos - histórico de URLs, favoritos, senhas e cookies - são consolidados e exfiltrados para infraestrutura C2 controlada pelo atacante. O histórico de navegação revela portais internos, sistemas de intranet e URLs de VPN. Favoritos corporativos frequentemente listam ferramentas de gestão, dashboards de monitoramento e sistemas ERP - informações que o atacante usa para planejar ataques subsequentes de [[t1538-cloud-service-dashboard|Cloud Service Dashboard]] ou escalonamento de privilégios. ## Detecção ### Event IDs Relevantes (Windows) | Event ID | Fonte | Descrição | |----------|-------|-----------| | **4663** | Security | Acesso a objetos - leitura de arquivos de perfil de navegador | | **4656** | Security | Tentativa de acesso a objeto (handle solicitado) | | **4688** | Security | Criação de novo processo com linha de comando suspeita | | **1** | Sysmon | Criação de processo - monitorar acesso a caminhos de navegador | | **11** | Sysmon | FileCreaté - gravação de cópia de `Login Data` ou `Cookies` fora do perfil | | **23** | Sysmon | FileDelete - exclusão de cópias após exfiltração | ### Sigma Rule - Acesso a Artefatos de Navegador ```yaml title: Browser Credential Database Access id: a8b4e2f1-3c7d-4a9b-8e5f-1d2c3b4a5e6f status: experimental description: > Detecta acesso a bancos de dados de credenciais de navegadores populares por processos não relacionados ao próprio navegador. Indica possível coleta de credenciais via T1217. author: RunkIntel daté: 2026-03-24 references: - https://attack.mitre.org/techniques/T1217 logsource: category: file_access product: windows detection: selection: TargetFilename|contains: - '\Google\Chrome\User Data\Default\Login Data' - '\Mozilla\Firefox\Profiles\' - '\Microsoft\Edge\User Data\Default\Login Data' - '\Google\Chrome\User Data\Default\Cookies' - '\Microsoft\Edge\User Data\Default\Cookies' filter_legitimate: Image|contains: - '\chrome.exe' - '\firefox.exe' - '\msedge.exe' - '\browser_broker.exe' condition: selection and not filter_legitimate fields: - Image - TargetFilename - User falsepositives: - Ferramentas legítimas de backup de perfil de navegador - Gestores de senhas corporativos (ex: CyberArk, 1Password for Teams) level: high tags: - attack.discovery - attack.t1217 - attack.credential_access ``` ## Mitigação | Controle | Descrição | Aplicação para Organizações Brasileiras | |----------|-----------|----------------------------------------| | **Gestão de Credenciais Corporativas** | Proibir o armazenamento de senhas corporativas em navegadores pessoais ou corporativos não gerenciados | Implantar política via GPO bloqueando `PasswordManagerEnabled` no Chrome e Edge em estações Windows do domínio | | **Cofre de Senhas Centralizado** | Adotar solução de PAM (Privileged Access Management) - CyberArk, Senhas seguras via Microsoft Entra | Elimina a necessidade de o colaborador salvar credenciais no navegador; aplica MFA em cada acesso | | **Separação de Perfis de Navegador** | Usar navegadores distintos para acesso corporativo (gerenciado) e pessoal | Política de endpoint via Intune ou Jámf; perfis corporativos sincronizados com conta organizacional apenas | | **EDR com Monitoramento de Arquivos** | Regras de detecção em EDR (CrowdStrike, Microsoft Defender for Endpoint) para acesso a `Login Data` | Criar Custom IOAs / Alert Rules monitorando leitura de SQLite de navegador por processos não autorizados | | **Hardening de DPAPI** | Garantir que credenciais DPAPI não sejam exportáveis fora do contexto de usuário | Habilitar Windows Credential Guard em estações críticas; impede extração offline de blobs DPAPI | | **Monitoramento de Exfiltração** | DLP e monitoramento de rede para detecção de upload de arquivos SQLite ou blobs de credencial | Soluções como Symantec DLP ou Microsoft Purview Compliance para classificar e bloquear exportação de arquivos de perfil | ## Threat Actors e Software Associado ### Grupos que Utilizam esta Técnica **[[g0117-fox-kitten|Fox Kitten]]** (Iran) - Grupo iraniano de espionagem que utiliza coleta de informações de navegador para mapear portais de acesso remoto e VPNs corporativas em alvos de infraestrutura crítica. Ativo em campanhas contra o setor de energia e governo. **[[g1017-volt-typhoon|Volt Typhoon]]** (China) - APT chinês focado em infraestrutura crítica dos EUA e aliados. Extrai histórico de navegador para identificar sistemas SCADA e OT acessados via interface web - relevante para o setor de energia brasileiro. **[[g0082-apt38|APT38]]** (Coreia do Norte) - Braço financeiro do Lazarus Group. Utiliza dados de navegador, especialmente favoritos e histórico bancário, para mapear plataformas SWIFT e portais de transferências interbancárias - risco direto para o sistema financeiro do Brasil. **[[g1015-scattered-spider|Scattered Spider]]** - Grupo anglófono especializado em engenharia social e sequestro de contas. Combina dados de histórico de navegador com técnicas de vishing para construir perfis detalhados de vítimas antes de golpes de SIM-swapping e MFA bypass. **[[g1036-moonstone-sleet|Moonstone Sleet]]** (Coreia do Norte) - Utiliza o malware [[s1246-beavertail|BeaverTail]] para extração furtiva de credenciais de navegador em ambientes de desenvolvimento de software. **[[g0114-chimera|Chimera]]** (China) - Grupo focado em semicondutores e aviação. Extrai credenciais de navegador de engenheiros para acessar repositórios de código-fonte e sistemas de CAD via sessões SSO comprometidas. ### Malware e Ferramentas Associadas | Software | Tipo | Uso nesta Técnica | |----------|------|-------------------| | [[s1122-mispadu\|Mispadu]] | Banking Trojan | Especializado em roubo de credenciais bancárias brasileiras salvas em navegadores; alvo prioritário: bancos BR | | [[s1246-beavertail\|BeaverTail]] | Infostealer | Extrai `Login Data` e `Cookies` do Chrome; usado pelo [[g1036-moonstone-sleet\|Moonstone Sleet]] | | [[s0567-dtrack\|Dtrack]] | RAT/Infostealer | Coleta histórico e favoritos; implantado pelo Lazarus Group em alvos financeiros | | [[darkwatchman\|DarkWatchman]] | RAT | Keylogger + coleta de artefatos de navegador; distribuído via spam | | [[s0681-lizar\|Lizar]] | Framework C2 | Módulo dedicado de extração de credenciais de navegador | | [[s0274-calisto\|Calisto]] | Backdoor macOS | Coleta dados de Keychain e navegadores no macOS | | [[g0095-machete\|Machete]] | RAT LATAM | Infostealer com foco em países hispanofalantes e Brasil; extrai favoritos e senhas | | [[s1012-powerless\|PowerLess]] | Backdoor | Stager PowerShell que coleta dados de navegador como parte do reconhecimento inicial | | [[s1060-mafalda\|Mafalda]] | Implant | Framework modular com capacidade de extração de artefatos de navegador | | [[s0363-empire\|Empire]] | Framework C2 | Módulo `collection/ChromeDump` para extração automatizada de credenciais | --- *Fonte: [MITRE ATT&CK - T1217](https://attack.mitre.org/techniques/T1217)*