Maranhão Stealer-Erkennung: Neue Node.js-basierte Malware für Informationsdiebstahl mit Reflective DLL Injection
Inhaltsverzeichnis:
Informationsdiebstahl-Malware nimmt in der Cyberbedrohungslandschaft rasant zu. ESET berichtet, dass SnakeStealer seine Aktivität im ersten Halbjahr 2025 nahezu verdoppelt hat und damit die am häufigsten erkannte Infostealer-Malware ist, die fast 20% aller Infostealer-Erkennungen ausmacht. Gleichzeitig ist eine neue Kampagne namens Maranhão Stealer aufgetaucht, die Gaming-Enthusiasten über bösartige Raubkopien von Software auf Cloud-Diensten angreift. Diese Kampagne signalisiert eine besorgniserregende Entwicklung beim Diebstahl von Zugangsdaten, indem Social Engineering mit fortschrittlichen Umgehungstechniken kombiniert wird, um Benutzerkonten und Kryptowährungs-Wallets zu kompromittieren.
Maranhão Stealer Erkennung
Der Einsatz fortschrittlicher Werkzeuge durch Angreifer und Methoden zur Umgehung von Erkennungen hilft Bedrohungsakteuren, unentdeckt zu bleiben, und trägt zur Weiterentwicklung von Malware bei. Neue Liefertechniken wie ClickFix in Kombination mit generativer KI treiben zunehmend komplexe und groß angelegte Infostealer-Kampagnen voran.
Registrieren Sie sich auf der SOC Prime Platform, die auf erstklassige Cybersicherheits-Expertise und KI setzt, um Organisationen weltweit bei der proaktiven Abwehr erwarteter Cyberangriffe zu unterstützen. Die Plattform bietet kuratierte Sigma-Regeln und KI-generierte Inhalte, mit denen Sicherheitsteams die aufkommenden Maranhão Stealer-Kampagnen frühzeitig erkennen können. Klicken Sie auf den Detektionen Erkunden-Button unten, um die entsprechende Liste der Erkennungen mit umfassendem Kontext zu Cyberbedrohungen, wie Auditkonfigurationen, Metadaten zu Fehlalarmen, Triage-Empfehlungen und MITRE ATT&CK®-Referenzen einzusehen.
Der Erkennungscode kann sofort in mehrere SIEM-, EDR- und Data-Lake-Sprachen konvertiert, in Ihrer Instanz bereitgestellt und über Uncoder AI an spezifische Sicherheitsanforderungen angepasst werden. Das neueste Uncoder AI Update bietet zusätzliche Funktionen für Sicherheitsteams, um Detection Engineering-Aufgaben vollständig über eine neue AI-Chatbot-Schnittstelle und MCP-Tools zu verwalten.
Maranhão Stealer Analyse
Cyble-Analysten haben eine aktive Maranhão Stealer-Kampagne aufgedeckt, die über Social-Engineering-Websites auf Cloud-Plattformen verteilt wird. Hinweise deuten darauf hin, dass die Malware seit Mai 2025 aktiv ist und kontinuierlich weiterentwickelt wird. Die Angreifer zielen vor allem auf Gaming-Enthusiasten ab und locken Opfer mit Gaming-bezogenen Links, Cheats und Raubkopien (z. B. hxxps://derelictsgame.in/DerelictSetup.zip). Die Malware wird in ZIP-Archiven geliefert, die einen Inno Setup-Installer enthalten, der eine Node.js-kompilierte Binärdatei ausführt, um Anmeldeinformationen zu exfiltrieren. Maranhão Stealer gewährleistet Persistenz und Umgehung, versteckt seine Payloads als System- und versteckte Dateien und führt detaillierte Host-Erkundungen durch. Anschließend extrahiert sie Anmeldeinformationen, Cookies, Browser-Verlauf und Wallet-Daten mittels Reflective DLL Injection, was die zunehmende Komplexität der Malware unterstreicht.
Nach der Ausführung versteckt sich Maranhão Stealer im Ordner “Microsoft Updater” unter %localappdata%\Programs, etabliert Persistenz über Run-Registry-Schlüssel und geplante Aufgaben und startet updater.exe. Danach erfolgen Systemerkundung, Bildschirmaufnahmen und Diebstahl von Zugangsdaten, wobei Browser und Kryptowährungs-Wallets ins Visier genommen werden. Um Schutzmechanismen wie Chrome AppBound zu umgehen, nutzt die Malware Reflective DLL Injection, um Cookies, gespeicherte Anmeldeinformationen und Session-Tokens zu extrahieren und lokal zu sammeln, bevor sie an die Infrastruktur des Angreifers exfiltriert werden.
Frühere Varianten verwendeten PsExec und eine Go-basierte decryptor.exe, die in C:\Windows platziert wurde, um Klartext-Passwörter zu extrahieren, wodurch sichtbare Artefakte hinterlassen wurden. Neuere Builds sind stealthiger, betten die Passwortwiederherstellung in das obfuskierte infoprocess.exe (Go) ein und starten Prozesse über Win32 API-Aufrufe statt über PsExec. Trotz kleiner Stichprobenunterschiede bleibt die Kernfunktionalität konsistent, was zeigt, wie Bedrohungsakteure Social Engineering, Commodity-Tools und moderne Entwicklungsstacks kombinieren, um fortgeschrittene Infostealer in großem Maßstab bereitzustellen.
Maranhão Stealer nutzt Social Engineering über Raubkopien und Gaming-bezogene Köder, liefert trojanisierte Installer, gecrackte Launcher und Cheats, die als beliebte oder modifizierte Spiele getarnt sind. Nach dem Start stellt der Stealer (updater.exe) Persistenz her, indem er einen Run-Registry-Schlüssel über reg.exe erstellt, um bei jedem Benutzer-Login aus dem Microsoft Updater-Verzeichnis ausgeführt zu werden. Anschließend verschleiert er seine Komponenten durch Setzen der Attribute System und Hidden mit attrib.exe. Für die Host-Erkundung sendet die Malware WMI-Abfragen, um OS-Version, CPU-Modell, GPU, Hardware-UUID und Festplattenmetriken zu sammeln, während sie gleichzeitig Netzwerk- und Geolokalisierungsdaten von ip-api.com/json erfasst. Dies ermöglicht Umgebungs-Fingerprinting, Sandbox-Erkennung und Exploit-Bewertung. Außerdem werden Screenshots erstellt, um visuelle Kontexte vom System des Opfers zu sammeln.
Nach der Erkundung zielt der Stealer auf Datendiebstahl aus wichtigen Browsern ab, indem er Benutzerprofile auflistet, um Browserverlauf, Cookies, Download-Daten und gespeicherte Anmeldeinformationen zu extrahieren. Er initiiert eine DLL-Injection-Kette, indem er infoprocess.exe erstellt und den Browsernamen als Parameter übergibt. Der Hilfsprozess führt den Browser im Headless-Modus aus, sodass eine verdeckte Interaktion und Datenerfassung ohne Fensteranzeige möglich ist.
Zum Schutz vor möglichen Maranhão Stealer-Angriffen sollten Organisationen verdächtige Aktivitäten, Prozessinjektionen, Registry-Änderungen und unbefugte Datenexfiltration erkennen und die Ausführung nicht autorisierter Binärdateien einschränken, um Risiken ähnlicher Infostealer-Kampagnen zu minimieren.
Die Maranhão Stealer-Kampagne zeigt, wie Angreifer fortgeschrittene Taktiken einsetzen, wie Social Engineering über Raubkopien von Gaming-Software, um Anmeldeinformationen und Kryptowährungen zu exfiltrieren, während sie Obfuskation, Persistenz und Reflective DLL Injection nutzen, um Erkennung zu vermeiden. Verteidiger müssen daher schnell und wachsam reagieren. Mit der vollständigen Produktpalette von SOC Prime, unterstützt durch KI, Automatisierung und Echtzeit-Bedrohungsinformationen, können Organisationen ihre Infrastruktur proaktiv gegen raffinierte Informationsdiebstahlangriffe und andere relevante Bedrohungen schützen.
