Detección de Maranhão Stealer: Nuevo Malware de Robo de Información Basado en Node.js con Inyección DLL Reflectiva
Tabla de contenidos:
El malware de robo de información está aumentando rápidamente en el panorama de amenazas cibernéticas. ESET informa que SnakeStealer casi duplicó su actividad en el primer semestre de 2025, convirtiéndose en el infostealer más detectado y representando casi el 20% de todas las detecciones de infostealers. Mientras tanto, ha surgido una nueva campaña denominada Maranhão Stealer, que apunta a entusiastas de los videojuegos mediante software pirata malicioso alojado en servicios en la nube. Esta campaña representa un preocupante cambio en las operaciones de robo de credenciales, combinando ingeniería social con tácticas avanzadas de evasión para comprometer cuentas de usuario y billeteras de criptomonedas.
Detección de Maranhão Stealer
La aparición de herramientas de adversarios más avanzadas y métodos de evasión de detección, que ayudan a los atacantes a mantenerse fuera del radar, contribuye a la evolución del malware de robo de información. Nuevas técnicas de entrega como ClickFix, junto con la potencia de la IA generativa, están impulsando campañas de infostealer más sofisticadas y a gran escala.
Regístrese en SOC Prime Platform, que aprovecha la experiencia en ciberseguridad y la IA para ayudar a las organizaciones globales a anticipar los ciberataques más probables. SOC Prime Platform selecciona un conjunto de reglas Sigma y contenido generado por IA para permitir que los equipos de seguridad detecten proactivamente las campañas emergentes de Maranhão Stealer. Haga clic en el botón Explorar Detecciones a continuación para acceder a la lista de detecciones relevantes enriquecidas con contexto completo de amenazas cibernéticas, como configuraciones de auditoría, metadatos de falsos positivos, recomendaciones de triage y referencias a MITRE ATT&CK®.
El código de detección puede convertirse al instante en múltiples formatos de lenguaje para SIEM, EDR y Data Lake, listo para implementarse en su instancia y ajustarse mediante Uncoder AI para adaptarse a necesidades de seguridad específicas. La última actualización de Uncoder AI introduce capacidades aún más avanzadas para que los equipos de seguridad gestionen las tareas de ingeniería de detección de principio a fin usando una nueva interfaz de Chat Bot de IA y herramientas MCP.
Análisis de Maranhão Stealer
Los analistas de Cyble han descubierto una campaña activa de Maranhão Stealer distribuida mediante sitios web de ingeniería social alojados en plataformas en la nube, con evidencias que sugieren que el malware ha estado activo desde mayo de 2025 y está en desarrollo continuo. Los actores de amenaza apuntan principalmente a entusiastas de los videojuegos, atrayendo víctimas con enlaces relacionados con juegos, trampas y descargas de software pirata (por ejemplo, hxxps://derelictsgame.in/DerelictSetup.zip). El malware se entrega en archivos ZIP que contienen un instalador Inno Setup que ejecuta un binario compilado con Node.js para exfiltrar credenciales. Maranhão Stealer asegura persistencia y evasión, ocultando sus cargas útiles como archivos de sistema y ocultos, y realizando un reconocimiento detallado del host. Posteriormente extrae credenciales, cookies, historial de navegador y datos de billeteras mediante inyección DLL reflectiva, subrayando la creciente sofisticación del malware.
Una vez ejecutado, Maranhão Stealer se oculta en una carpeta “Microsoft Updater” bajo %localappdata%\Programs, estableciendo persistencia mediante claves de registro Run y una tarea programada antes de ejecutar updater.exe. Luego realiza reconocimiento del sistema, capturas de pantalla y robo de credenciales, apuntando a navegadores y billeteras de criptomonedas. Para evadir protecciones como la encriptación AppBound de Chrome, utiliza inyección DLL reflectiva para extraer cookies, credenciales almacenadas y tokens de sesión, que se preparan localmente y se exfiltran a la infraestructura del atacante.
Las variantes tempranas utilizaban PsExec y un decryptor.exe basado en Go ubicado en C:\Windows para la recuperación de contraseñas en texto plano, dejando artefactos visibles. Las compilaciones más recientes son más sigilosas, incorporando la recuperación de contraseñas en infoprocess.exe (Go) ofuscado y generando procesos mediante llamadas a la API de Win32 en lugar de PsExec. A pesar de las ligeras variaciones entre muestras, la funcionalidad principal se mantiene consistente, ilustrando cómo los actores de amenaza fusionan ingeniería social, herramientas comerciales y stacks de desarrollo modernos para desplegar infostealers avanzados a gran escala.
Maranhão Stealer aprovecha la ingeniería social mediante software pirata y señuelos relacionados con juegos, entregando instaladores troyanizados, lanzadores craqueados y trampas disfrazadas como juegos populares o modificados. Una vez lanzado, el stealer (updater.exe) establece persistencia creando una clave de registro Run mediante reg.exe para garantizar la ejecución desde el directorio Microsoft Updater en cada inicio de sesión del usuario. Luego oculta sus componentes configurando atributos System y Hidden mediante attrib.exe. Para perfilar el host, el malware realiza consultas WMI para recopilar versión de OS, modelo de CPU, GPU, UUID de hardware y métricas de disco, mientras también recoge datos de red y geolocalización desde ip-api.com/json. Este reconocimiento permite la huella del entorno, detección de sandbox y evaluación de explotación. El stealer también realiza capturas de pantalla para recolectar contexto visual del sistema de la víctima.
Después del reconocimiento, el stealer apunta al robo de datos desde los principales navegadores, enumerando perfiles de usuario para extraer historial de navegación, cookies, registros de descargas y credenciales guardadas. Inicia una cadena de inyección DLL generando infoprocess.exe, pasando el nombre del navegador como parámetro. El proceso auxiliar ejecuta el navegador en modo headless, permitiendo interacción encubierta y extracción de datos sin mostrar ventana.
Como medidas de mitigación frente a posibles ataques de Maranhão Stealer, las organizaciones deben detectar de manera preventiva comportamientos sospechosos, inyecciones de procesos, cambios en el registro y exfiltración no autorizada de datos, así como restringir la ejecución de binarios no autorizados para minimizar riesgos de campañas similares de robo de información.
La campaña Maranhão Stealer demuestra cómo los atacantes utilizan tácticas avanzadas, como ingeniería social mediante software de juegos pirata para exfiltrar credenciales y criptomonedas, confiando en ofuscación, persistencia e inyección DLL reflectiva para evadir detección, lo que requiere una respuesta rápida y vigilante por parte de los defensores. Confiando en la suite completa de SOC Prime respaldada por IA, automatización e inteligencia de amenazas en tiempo real, las organizaciones pueden defender proactivamente su infraestructura contra ataques sofisticados de robo de información y otras amenazas emergentes de alta relevancia.
