Detecção do Maranhão Stealer: Novo Malware de Roubo de Informações Baseado em Node.js com Injeção DLL Reflexiva
Índice:
Malware de roubo de informações está aumentando rapidamente no cenário de ameaças cibernéticas. A ESET relata que o SnakeStealer quase dobrou sua atividade no primeiro semestre de 2025, tornando-se o infostealer mais detectado e representando quase 20% de todas as detecções de infostealers. Enquanto isso, uma nova campanha chamada Maranhão Stealer surgiu, visando entusiastas de jogos por meio de software pirata malicioso hospedado em serviços de nuvem. Esta campanha marca uma mudança preocupante nas operações de roubo de credenciais, combinando engenharia social com técnicas avançadas de evasão para comprometer contas de usuário e carteiras de criptomoedas.
Detecção do Maranhão Stealer
O surgimento de ferramentas adversárias mais avançadas e métodos de evasão de detecção, que ajudam os atores de ameaça a permanecerem fora do radar, contribui para a evolução do malware de roubo de informações. Novas técnicas de entrega, como ClickFix, combinadas com o poder da IA generativa, estão impulsionando campanhas de infostealer mais sofisticadas e em grande escala.
Registre-se na SOC Prime Platform, que utiliza expertise avançada em cibersegurança e IA para ajudar organizações globais a antecipar os ataques cibernéticos mais prováveis. A SOC Prime Platform seleciona um conjunto de regras Sigma e conteúdo gerado por IA para permitir que equipes de segurança detectem proativamente campanhas emergentes de Maranhão Stealer. Clique no botão Explorar Detecções abaixo para acessar a lista relevante de detecções enriquecida com contexto completo de ameaças cibernéticas, como configurações de auditoria, metadados de falsos positivos, recomendações de triagem e referências ao MITRE ATT&CK®.
O código de detecção pode ser instantaneamente convertido em múltiplos formatos para SIEM, EDR e Data Lake, pronto para ser implementado na sua instância e ajustado via Uncoder AI para atender necessidades específicas de segurança. A última atualização do Uncoder AI introduz capacidades ainda mais avançadas para equipes de segurança gerenciarem tarefas de engenharia de detecção de ponta a ponta usando uma nova interface de Chat Bot de IA e ferramentas MCP.
Análise do Maranhão Stealer
Analistas da Cyble descobriram uma campanha ativa de Maranhão Stealer distribuída através de sites de engenharia social hospedados em plataformas de nuvem, com evidências de que o malware está ativo desde maio de 2025 e em desenvolvimento contínuo. Os atores de ameaça visam principalmente entusiastas de jogos, atraindo vítimas com links relacionados a jogos, cheats e downloads de software pirata (por exemplo, hxxps://derelictsgame.in/DerelictSetup.zip). O malware é entregue em arquivos ZIP contendo um instalador Inno Setup que executa um binário compilado em Node.js para exfiltrar credenciais. Maranhão Stealer garante persistência e evasão, ocultando suas cargas úteis como arquivos do sistema e ocultos, e realizando reconhecimento detalhado do host. Posteriormente, extrai credenciais, cookies, histórico de navegador e dados de carteira usando injeção DLL reflexiva, destacando a sofisticação crescente do malware.
Uma vez executado, Maranhão Stealer se esconde em uma pasta “Microsoft Updater” em %localappdata%\Programs, estabelecendo persistência por meio de chaves de registro Run e uma tarefa agendada antes de iniciar updater.exe. Em seguida, realiza reconhecimento do sistema, captura de telas e roubo de credenciais, visando navegadores e carteiras de criptomoedas. Para contornar proteções como a criptografia AppBound do Chrome, ele utiliza injeção DLL reflexiva para extrair cookies, credenciais armazenadas e tokens de sessão, que são preparados localmente e exfiltrados para a infraestrutura do atacante.
As variantes iniciais usavam PsExec e um decryptor.exe baseado em Go colocado em C:\Windows para recuperação de senhas em texto plano, deixando artefatos visíveis. Builds mais recentes são mais discretos, incorporando recuperação de senhas no infoprocess.exe (Go) ofuscado e gerando processos via chamadas de API Win32 em vez de PsExec. Apesar das pequenas variações entre amostras, a funcionalidade central permanece consistente, ilustrando como os atores de ameaça combinam engenharia social, ferramentas comerciais e stacks modernos de desenvolvimento para entregar infostealers avançados em larga escala.
Maranhão Stealer utiliza engenharia social por meio de software pirata e iscas relacionadas a jogos, entregando instaladores trojanizados, lançadores crackeados e cheats disfarçados como jogos populares ou modificados. Uma vez lançado, o stealer (updater.exe) estabelece persistência criando uma chave de registro Run via reg.exe para garantir execução do diretório Microsoft Updater a cada login do usuário. Em seguida, oculta seus componentes definindo atributos System e Hidden usando attrib.exe. Para mapear o host, o malware realiza consultas WMI para coletar versão do SO, modelo de CPU, GPU, UUID de hardware e métricas de disco, além de coletar dados de rede e geolocalização de ip-api.com/json. Esse reconhecimento permite fingerprinting do ambiente, detecção de sandbox e avaliação de exploração. O stealer também realiza capturas de tela para coletar contexto visual do sistema da vítima.
Após o reconhecimento, o stealer visa o roubo de dados de navegadores principais, enumerando perfis de usuário para extrair histórico de navegação, cookies, registros de download e credenciais salvas. Ele inicia uma cadeia de injeção DLL gerando infoprocess.exe, passando o nome do navegador como parâmetro. O processo auxiliar executa o navegador em modo headless, permitindo interação discreta e extração de dados sem exibir janela.
Como medidas de mitigação para ataques potenciais de Maranhão Stealer, as organizações devem detectar comportamentos suspeitos, injeções de processo, alterações de registro e exfiltração não autorizada de dados, além de restringir a execução de binários não autorizados para minimizar riscos de campanhas similares de roubo de informações.
A campanha Maranhão Stealer demonstra como os atacantes utilizam táticas avançadas, como engenharia social via software pirata de jogos para exfiltrar credenciais e criptomoedas, enquanto confiam em ofuscação, persistência e injeção DLL reflexiva para evadir detecção, exigindo resposta rápida e vigilante dos defensores. Com a suite completa da SOC Prime, respaldada por IA, automação e inteligência de ameaças em tempo real, as organizações podem defender proativamente suas infraestruturas contra ataques sofisticados de roubo de informações e outras ameaças emergentes críticas.
