StealC e Amadey: Desvendando os Infostealers e Serviços por Trás Deles
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
O relatório examina as atividades do StealC, uma plataforma de infostealer-como-serviço, e Amadey, um carregador de malware-como-serviço. Cibercriminosos usam essas ferramentas para coletar credenciais sensíveis, cookies de sessão e dados relacionados a criptomoedas, permitindo operações subsequentes como ataques de ransomware. O ecossistema de ameaças depende de tráfego web enganoso, envenenamento de SEO e campanhas de phishing para comprometer dispositivos não gerenciados.
Investigação
A Unidade de Crimes Digitais da Microsoft, trabalhando com a Europol, realizou uma interrupção coordenada contra mais de 200 domínios maliciosos e endereços IP de comando e controle ligados ao StealC e Amadey. Os investigadores usaram o Microsoft Copilot para analisar amostras de malware, descriptografar strings embutidas e descobrir infraestrutura de comando e controle hardcoded. A operação levou ao derrube e suspensão de uma parte significativa da infraestrutura de suporte dos atores de ameaça.
Mitigação
Os defensores devem habilitar a proteção em nuvem e a proteção contra adulteração no Microsoft Defender para ajudar a bloquear variantes novas e em evolução. Aplicar regras de Redução da Superfície de Ataque também pode reduzir a exposição a caminhos comuns de infecção, como tráfego web enganoso. Além disso, as organizações devem fortalecer a proteção de identidade e a higiene de credenciais para limitar o impacto de tokens de sessão roubados e contas comprometidas.
Resposta
Quando esta atividade for detectada, as organizações devem priorizar a proteção de identidade e o rápido confinamento para impedir que credenciais roubadas sejam usadas para movimento lateral. Os investigadores devem examinar de perto possíveis cenários de bypass de MFA causados por roubo de cookies de sessão. Endpoints comprometidos devem ser isolados rapidamente, e a telemetria de autenticação deve ser monitorada para atividade incomum envolvendo credenciais de usuário válidas.
"flowchart TD step_initial_access{"Acesso Inicial: T1189 – Comprometimento por Drive-by & T1674 – Injeção de Input (ClickFix)"} step_persistence_amadey["Persistência: T1037.004 – Tarefa Agendada & T1059.003 – Shell de Comando do Windows (Carregador Amadey)"] rules_for_step_persistence_amadey("<b>Nome da Regra</b>: MsiExec Iniciado por Processo de Shell (via linha de comando)<br/><b>ID da Regra</b>: d59d37c0-fc3c-4374-ba67-318edd591d19") step_credential_harvesting["Acesso a Credenciais: T1555.003 – Credenciais de Navegadores Web, T1114.002 – Coleta de Email Remoto & T1552.008 – Mensagens de Chat (StealC Infostealer)"] step_stealth["Evasão de Defesa: T1070.010 – Relocar Malware (execução PowerShell cradle)"] step_exfiltration["Exfiltração: T1041 – Exfiltração Sobre Canal C2 (transmissão de dados RC4/Base64)"] step_initial_access –>|leva_a| step_persistence_amadey step_persistence_amadey –>|habilita| step_credential_harvesting step_credential_harvesting –>|então| step_stealth step_stealth –>|leva_a| step_exfiltration step_persistence_amadey -.->|detected_by| rules_for_step_persistence_amadey "
Fluxo de Ataque
Detecções
Uso Possível de Timeout para Execução com Atraso (via linha de comando)
Ver
Download ou Upload via Powershell (via linha de comando)
Ver
MsiExec Iniciado por Processo de Shell (via linha de comando)
Ver
Criação de Tarefa Agendada para Persistência de Malware Amadey [Log de Eventos de Segurança do Microsoft Windows]
Ver
Detecção de Execução e Injeção de Processo de Malware StealC [Criação de Processo do Windows]
Ver
## Execução da Simulação
Pré-requisito: O Check de Pré-voo de Telemetria & Linha de Base deve ter sido aprovado.
Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e procurar gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos incorretos.
-
Narrativa de Ataque & Comandos: Um adversário lançou com sucesso um executável malicioso chamado
StealC.exe. Para evadir a detecção baseada em assinatura simples e tentar esconder sua rotina de injeção, o malware é projetado para chamar suas funções internas passando o nome das APIs do Windows necessárias como argumentos de linha de comando para um subprocesso. Isso simula uma abordagem “Living-off-the-Land” onde a própria linha de comando contém os indicadores da intenção de executarCreateProcessAcomCREATE_SUSPENDEDe subsequentemente usarVirtualAllocExandWriteProcessMemorypara injeção. -
Script de Teste de Regressão:
# Script de simulação para acionar a regra Sigma imitando as strings esperadas da linha de comando # Nota: Isso simula a presença de strings, não a execução real da API. $malwareName = "StealC.exe" $payloadArgs = "CreateProcessA CREATE_SUSPENDED VirtualAllocEx WriteProcessMemory" Write-Host "[+] Iniciando simulação: Executando $malwareName com strings de injeção..." -ForegroundColor Cyan # Criamos um arquivo fictício chamado StealC.exe para satisfazer a parte 'Imagem' da detecção New-Item -Path ".$malwareName" -ItemType "File" -Force | Out-Null # Executar o arquivo fictício com as strings específicas requeridas pela lógica de detecção # Em um cenário real, isso seria o malware executando. Start-Process -FilePath ".$malwareName" -ArgumentList $payloadArgs -WindowStyle Hidden Write-Host "[+] Comando de simulação enviado." -ForegroundColor Green -
Comandos de Limpeza:
# Limpeza: Remover o arquivo malware fictício criado durante a simulação Remove-Item -Path ".StealC.exe" -Force -ErrorAction SilentlyContinue Write-Host "[+] Limpeza completa: StealC.exe removido." -ForegroundColor Yellow