Stealer mira VPN e Wi-Fi para invadir redes

Acesso Inicial / Execução T1566 (Phishing) / T1204.002 (Execução por Usuário) Inicialização através de baixa falsos de cracks/software ou links em e-mails que entregam um carregador (carga útil estágio 1). Regras: Alerta se um seguintevel (por exemplo, .exe, .dll) recém-criado em um horário temporário (%TEMP% ou Transferências) inicia imediatamente uma conexão de rede de saída incomum (loader baixando o payload). Acesso a Credenciais T1003.003 (Despejo de Credencial do OS) Uso do comando netsh wlan show profiles name=* key=clear para extrair senhas de Wi-Fi salvas. Regras: Alerta na execução do cmd.exe ou powershell.exe que inclua uma linha de comando exata ou uma string netsh wlan show profiles combinada com key=clear. Acesso a Credenciais T1555 (Credenciais de Lojas de Senhas) / T1552.001 (Credenciais em Arquivos) Acesso e leitura de arquivos de configuração de clientes VPN (por exemplo, OpenVPN, Cisco AnyConnect) e bancos de dados de navegadores (cofres de senha, cookies, preenchimento automático). Regras: Alerta se um processo sem assinatura legítima acessar múltiplos arquivos em caminhos conhecidos de perfis de VPN ou bancos de dados de navegadores (por exemplo, AppDataLocalGoogleChromeUser DataDefaultLogin Data). Coleta T1113 (Captura de Tela) Ó malware tira capturas de tela do ambiente de trabalho. Regras: Alerta se um processo não padrão estiver acessando a API de captura de tela do sistema operacional ou criando um volume incomum de arquivos de imagem (por exemplo, .png, .jpg) em um intervalo temporário em um período curto. Exfiltração T1041 (Exfiltração sobre Canal C2) Empacotamento de dados (VPN, Wi-Fi, senhas, screenshots) em um arquivo ZIP e envio via HTTPS para o servidor de C2. Regras: Alerta se um processo recém-criado/sem assinatura gerar um arquivo .zip de tamanho significativo e, imediatamente após, iniciar uma conexão de saída HTTPS para um endereço IP ou domínio que não faz parte da lista branca ou que é conhecido por ser malicioso (IoC de IP/Domínio de C2).