Détection de Maranhão Stealer : Nouveau Malware de Vol d’Informations Basé sur Node.js Utilisant l’Injection DLL Réflexive
Table des matières :
Les malwares de vol d’informations se propagent rapidement dans le paysage des cybermenaces. ESET rapporte que SnakeStealer a presque doublé son activité au premier semestre 2025, devenant le malware de vol d’informations le plus détecté et représentant près de 20% de toutes les détections de ce type. Parallèlement, une nouvelle campagne baptisée Maranhão Stealer a émergé, ciblant les amateurs de jeux via des logiciels piratés hébergés sur des services cloud. Cette campagne illustre une évolution inquiétante du vol de credentials, combinant ingénierie sociale et techniques d’évasion avancées pour compromettre les comptes utilisateurs et les portefeuilles de crypto-monnaie.
Détection de Maranhão Stealer
L’apparition d’outils d’attaquants plus avancés et de méthodes d’évasion des détections, permettant aux cybercriminels de rester sous le radar, contribue à l’évolution des malwares de vol d’informations. De nouvelles techniques de livraison comme ClickFix, combinées à la puissance de l’IA générative, favorisent des campagnes d’infostealers plus sophistiquées et à grande échelle.
Inscrivez-vous sur SOC Prime Platform, qui exploite l’expertise en cybersécurité et l’IA pour aider les organisations à anticiper les cyberattaques les plus probables. La plateforme SOC Prime fournit un ensemble de règles Sigma et du contenu généré par l’IA permettant aux équipes de sécurité de détecter de manière proactive les campagnes émergentes de Maranhão Stealer. Cliquez sur le bouton Explorer les Détections ci-dessous pour accéder à la liste pertinente des détections enrichies de contexte complet sur les cybermenaces, incluant configurations d’audit, métadonnées sur les faux positifs, recommandations de triage et références MITRE ATT&CK®.
Le code de détection peut être instantanément converti dans plusieurs langages SIEM, EDR et Data Lake, prêt à être déployé dans votre instance et ajusté via Uncoder AI pour répondre à des besoins de sécurité spécifiques. La dernière mise à jour d’Uncoder AI introduit des fonctionnalités avancées supplémentaires pour aider les équipes de sécurité à gérer les tâches de detection engineering de bout en bout via une nouvelle interface de chatbot IA et des outils MCP.
Analyse de Maranhão Stealer
Les analystes de Cyble ont identifié une campagne active de Maranhão Stealer distribuée via des sites web d’ingénierie sociale hébergés sur des plateformes cloud, avec des preuves suggérant que la malware est active depuis mai 2025 et en développement continu. Les attaquants ciblent principalement les gamers, en attirant les victimes avec des liens, cheats et logiciels piratés liés aux jeux (ex. hxxps://derelictsgame.in/DerelictSetup.zip). La malware est livrée dans des archives ZIP contenant un installateur Inno Setup qui exécute un binaire compilé Node.js pour exfiltrer les credentials. Maranhão Stealer assure persistance et évasion, masque ses payloads comme fichiers système et cachés et effectue une reconnaissance détaillée de l’hôte. Il extrait ensuite credentials, cookies, historique de navigation et données de portefeuille via injection DLL réflexive, soulignant la sophistication croissante de la malware.
Une fois exécuté, Maranhão Stealer se cache dans un dossier “Microsoft Updater” sous %localappdata%\Programs, établit la persistance via les clés de registre Run et une tâche planifiée avant de lancer updater.exe. Il effectue ensuite reconnaissance système, captures d’écran et vol de credentials, ciblant navigateurs et portefeuilles de crypto-monnaie. Pour contourner des protections telles que le chiffrement Chrome AppBound, il utilise l’injection DLL réflexive pour extraire cookies, credentials stockés et tokens de session, qui sont collectés localement puis exfiltrés vers l’infrastructure de l’attaquant.
Les premières variantes utilisaient PsExec et un decryptor.exe basé sur Go placé dans C:\Windows pour récupérer les mots de passe en clair, laissant des artefacts visibles. Les versions récentes sont plus furtives, intégrant la récupération de mots de passe dans infoprocess.exe obfusqué (Go) et créant des processus via les API Win32 au lieu de PsExec. Malgré de petites variations, les fonctionnalités principales restent cohérentes, illustrant la combinaison de social engineering, outils commoditaires et stacks modernes pour livrer des infostealers avancés à grande échelle.
Maranhão Stealer exploite le social engineering via logiciels piratés et appâts liés aux jeux, délivrant des installateurs trojanisés, launchers crackés et cheats déguisés en jeux populaires ou modifiés. Une fois lancé, le stealer (updater.exe) établit la persistance via création d’une clé Run avec reg.exe, assurant l’exécution à chaque login utilisateur depuis le répertoire Microsoft Updater. Il masque ensuite ses composants en appliquant les attributs System et Hidden avec attrib.exe. Pour profiler l’hôte, la malware effectue des requêtes WMI pour collecter OS, CPU, GPU, UUID matériel et métriques disque, tout en récupérant données réseau et géolocalisation depuis ip-api.com/json. Cette reconnaissance permet fingerprinting, détection de sandbox et évaluation des exploits. Des captures d’écran sont également réalisées pour collecter le contexte visuel du système de la victime.
Après reconnaissance, le stealer cible les principaux navigateurs, énumérant les profils utilisateurs pour extraire historique, cookies, fichiers téléchargés et credentials. Il initie une chaîne d’injection DLL en lançant infoprocess.exe avec le nom du navigateur en paramètre. Le processus aide à exécuter le navigateur en mode headless, permettant interaction et extraction de données sans afficher de fenêtre.
Pour se protéger contre d’éventuelles attaques de Maranhão Stealer, les organisations doivent détecter les comportements suspects, injections de processus, modifications de registre et exfiltration de données non autorisée, et restreindre l’exécution de binaires non autorisés.
La campagne Maranhão Stealer illustre l’utilisation par les attaquants de tactiques avancées, comme le social engineering via logiciels piratés, pour exfiltrer credentials et crypto-monnaie, tout en utilisant obfuscation, persistance et injection DLL réflexive pour échapper à la détection. Les défenseurs doivent réagir rapidement et de manière vigilante. Grâce à l’ensemble des produits SOC Prime, soutenu par IA, automatisation et renseignements sur les menaces en temps réel, les organisations peuvent protéger proactivement leur infrastructure contre les attaques sophistiquées de vol d’informations et autres menaces évolutives.
