SOC Prime Bias: Alto

30 Jun 2026 06:54 UTC

StealC e Amadey: Desvendando os Infostealers e Serviços por Trás Deles

Author Photo
SOC Prime Team linkedin icon Seguir
StealC e Amadey: Desvendando os Infostealers e Serviços por Trás Deles
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

O relatório examina as atividades do StealC, uma plataforma de infostealer-como-serviço, e Amadey, um carregador de malware-como-serviço. Cibercriminosos usam essas ferramentas para coletar credenciais sensíveis, cookies de sessão e dados relacionados a criptomoedas, permitindo operações subsequentes como ataques de ransomware. O ecossistema de ameaças depende de tráfego web enganoso, envenenamento de SEO e campanhas de phishing para comprometer dispositivos não gerenciados.

Investigação

A Unidade de Crimes Digitais da Microsoft, trabalhando com a Europol, realizou uma interrupção coordenada contra mais de 200 domínios maliciosos e endereços IP de comando e controle ligados ao StealC e Amadey. Os investigadores usaram o Microsoft Copilot para analisar amostras de malware, descriptografar strings embutidas e descobrir infraestrutura de comando e controle hardcoded. A operação levou ao derrube e suspensão de uma parte significativa da infraestrutura de suporte dos atores de ameaça.

Mitigação

Os defensores devem habilitar a proteção em nuvem e a proteção contra adulteração no Microsoft Defender para ajudar a bloquear variantes novas e em evolução. Aplicar regras de Redução da Superfície de Ataque também pode reduzir a exposição a caminhos comuns de infecção, como tráfego web enganoso. Além disso, as organizações devem fortalecer a proteção de identidade e a higiene de credenciais para limitar o impacto de tokens de sessão roubados e contas comprometidas.

Resposta

Quando esta atividade for detectada, as organizações devem priorizar a proteção de identidade e o rápido confinamento para impedir que credenciais roubadas sejam usadas para movimento lateral. Os investigadores devem examinar de perto possíveis cenários de bypass de MFA causados por roubo de cookies de sessão. Endpoints comprometidos devem ser isolados rapidamente, e a telemetria de autenticação deve ser monitorada para atividade incomum envolvendo credenciais de usuário válidas.

"flowchart TD step_initial_access{"Acesso Inicial: T1189 – Comprometimento por Drive-by & T1674 – Injeção de Input (ClickFix)"} step_persistence_amadey["Persistência: T1037.004 – Tarefa Agendada & T1059.003 – Shell de Comando do Windows (Carregador Amadey)"] rules_for_step_persistence_amadey("<b>Nome da Regra</b>: MsiExec Iniciado por Processo de Shell (via linha de comando)<br/><b>ID da Regra</b>: d59d37c0-fc3c-4374-ba67-318edd591d19") step_credential_harvesting["Acesso a Credenciais: T1555.003 – Credenciais de Navegadores Web, T1114.002 – Coleta de Email Remoto & T1552.008 – Mensagens de Chat (StealC Infostealer)"] step_stealth["Evasão de Defesa: T1070.010 – Relocar Malware (execução PowerShell cradle)"] step_exfiltration["Exfiltração: T1041 – Exfiltração Sobre Canal C2 (transmissão de dados RC4/Base64)"] step_initial_access –>|leva_a| step_persistence_amadey step_persistence_amadey –>|habilita| step_credential_harvesting step_credential_harvesting –>|então| step_stealth step_stealth –>|leva_a| step_exfiltration step_persistence_amadey -.->|detected_by| rules_for_step_persistence_amadey "

Fluxo de Ataque

## Execução da Simulação

Pré-requisito: O Check de Pré-voo de Telemetria & Linha de Base deve ter sido aprovado.

Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e procurar gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos incorretos.

  • Narrativa de Ataque & Comandos: Um adversário lançou com sucesso um executável malicioso chamado StealC.exe. Para evadir a detecção baseada em assinatura simples e tentar esconder sua rotina de injeção, o malware é projetado para chamar suas funções internas passando o nome das APIs do Windows necessárias como argumentos de linha de comando para um subprocesso. Isso simula uma abordagem “Living-off-the-Land” onde a própria linha de comando contém os indicadores da intenção de executar CreateProcessA com CREATE_SUSPENDED e subsequentemente usar VirtualAllocEx and WriteProcessMemory para injeção.

  • Script de Teste de Regressão:

    # Script de simulação para acionar a regra Sigma imitando as strings esperadas da linha de comando
    # Nota: Isso simula a presença de strings, não a execução real da API.
    
    $malwareName = "StealC.exe"
    $payloadArgs = "CreateProcessA CREATE_SUSPENDED VirtualAllocEx WriteProcessMemory"
    
    Write-Host "[+] Iniciando simulação: Executando $malwareName com strings de injeção..." -ForegroundColor Cyan
    
    # Criamos um arquivo fictício chamado StealC.exe para satisfazer a parte 'Imagem' da detecção
    New-Item -Path ".$malwareName" -ItemType "File" -Force | Out-Null
    
    # Executar o arquivo fictício com as strings específicas requeridas pela lógica de detecção
    # Em um cenário real, isso seria o malware executando.
    Start-Process -FilePath ".$malwareName" -ArgumentList $payloadArgs -WindowStyle Hidden
    
    Write-Host "[+] Comando de simulação enviado." -ForegroundColor Green
  • Comandos de Limpeza:

    # Limpeza: Remover o arquivo malware fictício criado durante a simulação
    Remove-Item -Path ".StealC.exe" -Force -ErrorAction SilentlyContinue
    Write-Host "[+] Limpeza completa: StealC.exe removido." -ForegroundColor Yellow