Rilevamento Maranhão Stealer: Nuovo Malware di Furto Informazioni Basato su Node.js con Reflective DLL Injection

[post-views]
Settembre 16, 2025 · 5 min di lettura
Rilevamento Maranhão Stealer: Nuovo Malware di Furto Informazioni Basato su Node.js con Reflective DLL Injection

I malware di furto informazioni stanno crescendo rapidamente nel panorama delle minacce informatiche. ESET segnala che SnakeStealer ha quasi raddoppiato la sua attività nel primo semestre del 2025, diventando il furto informazioni più rilevato e rappresentando quasi il 20% di tutti i rilevamenti di infostealer. Nel frattempo, è emersa una nuova campagna denominata Maranhão Stealer, che prende di mira gli appassionati di giochi tramite software pirata ospitato su servizi cloud. Questa campagna rappresenta un cambiamento preoccupante nelle operazioni di furto credenziali, combinando ingegneria sociale e tecniche avanzate di elusione per compromettere account utente e wallet di criptovalute.

Rilevamento Maranhão Stealer

L’emergere di strumenti più avanzati per gli avversari e dei metodi di elusione dei rilevamenti, che aiutano i threat actor a rimanere inosservati, contribuisce all’evoluzione dei malware di furto informazioni. Nuove tecniche di distribuzione come ClickFix, abbinate alla potenza dell’IA generativa, stanno alimentando campagne di infostealer più sofisticate e su larga scala.

Registrati sulla piattaforma SOC Prime, che sfrutta competenze avanzate di cybersecurity e IA per aiutare le organizzazioni a prevenire gli attacchi informatici più probabili. La piattaforma SOC Prime fornisce un set di regole Sigma e contenuti generati dall’IA per consentire ai team di sicurezza di rilevare proattivamente le campagne emergenti di Maranhão Stealer. Clicca sul pulsante Esplora Rilevamenti qui sotto per accedere all’elenco pertinente dei rilevamenti arricchiti con contesto completo sulle minacce, comprese configurazioni di audit, metadati sui falsi positivi, raccomandazioni di triage e riferimenti MITRE ATT&CK®.

Esplora Rilevamenti

Il codice di rilevamento può essere convertito istantaneamente in più linguaggi per SIEM, EDR e Data Lake, pronto per essere implementato nella tua istanza e personalizzato tramite Uncoder AI per soddisfare esigenze di sicurezza specifiche. L’ultimo aggiornamento di Uncoder AI introduce funzionalità avanzate per aiutare i team di sicurezza a gestire end-to-end le attività di detection engineering tramite una nuova interfaccia chatbot IA e strumenti MCP.

Analisi Maranhão Stealer

Gli analisti di Cyble hanno scoperto una campagna attiva di Maranhão Stealer distribuita tramite siti di ingegneria sociale ospitati su piattaforme cloud, con prove che suggeriscono attività dal maggio 2025 e sviluppo continuo. I threat actor prendono di mira principalmente i gamer, attirando le vittime con link, cheat e software pirata correlati ai giochi (es. hxxps://derelictsgame.in/DerelictSetup.zip). Il malware viene consegnato in archivi ZIP contenenti un installatore Inno Setup che esegue un binario compilato Node.js per esfiltrare credenziali. Maranhão Stealer assicura persistenza ed evasione, nasconde payload come file di sistema e nascosti e conduce un’analisi dettagliata dell’host. Successivamente estrae credenziali, cookie, cronologia del browser e dati di wallet tramite iniezione DLL riflessiva, evidenziando la crescente sofisticazione del malware.

Una volta eseguito, Maranhão Stealer si nasconde nella cartella “Microsoft Updater” sotto %localappdata%\Programs, stabilendo la persistenza tramite chiavi di registro Run e attività pianificate prima di avviare updater.exe. Esegue quindi ricognizione del sistema, cattura schermate e furto credenziali, prendendo di mira browser e wallet di criptovaluta. Per bypassare protezioni come la crittografia Chrome AppBound, utilizza l’iniezione DLL riflessiva per estrarre cookie, credenziali memorizzate e token di sessione, che vengono raccolti localmente e esfiltrati all’infrastruttura dell’attaccante.

Le prime varianti utilizzavano PsExec e un decryptor.exe basato su Go posizionato in C:\Windows per il recupero di password in chiaro, lasciando artefatti visibili. Le build più recenti sono più stealth, incorporando il recupero password in infoprocess.exe offuscato (Go) e generando processi tramite API Win32 anziché PsExec. Nonostante piccole variazioni tra campioni, la funzionalità principale resta coerente, mostrando come i threat actor combinano ingegneria sociale, strumenti comuni e stack di sviluppo moderni per distribuire infostealer avanzati su larga scala.

Maranhão Stealer sfrutta ingegneria sociale tramite software pirata e esche correlate ai giochi, consegnando installatori trojanizzati, launcher crackati e cheat camuffati da giochi popolari o modificati. Una volta avviato, lo stealer (updater.exe) crea persistenza generando una chiave Run tramite reg.exe, assicurando l’esecuzione dalla cartella Microsoft Updater ad ogni login utente. Successivamente nasconde i componenti impostando attributi System e Hidden con attrib.exe. Per profilare l’host, il malware invia query WMI per raccogliere OS, modello CPU, GPU, UUID hardware e metriche disco, raccogliendo anche dati di rete e geolocalizzazione da ip-api.com/json. Questa ricognizione permette fingerprinting dell’ambiente, rilevamento sandbox e valutazione delle vulnerabilità. Lo stealer cattura inoltre schermate per raccogliere contesto visivo del sistema vittima.

Dopo la ricognizione, lo stealer prende di mira i principali browser, enumerando i profili utente per estrarre cronologia, cookie, download e credenziali salvate. Avvia una catena di iniezione DLL eseguendo infoprocess.exe passando il nome del browser come parametro. Il processo helper esegue il browser in modalità headless, permettendo interazione e estrazione dati in modo nascosto senza visualizzare finestre.

Per mitigare potenziali attacchi Maranhão Stealer, le organizzazioni dovrebbero rilevare comportamenti sospetti, iniezioni di processo, modifiche al registro e esfiltrazioni non autorizzate, limitando l’esecuzione di binari non autorizzati.

La campagna Maranhão Stealer dimostra come gli attaccanti sfruttino tattiche avanzate, come ingegneria sociale tramite software pirata, per esfiltrare credenziali e criptovalute, utilizzando offuscamento, persistenza e iniezione DLL riflessiva per sfuggire al rilevamento. I difensori devono rispondere rapidamente e con vigilanza. Affidandosi alla suite completa SOC Prime supportata da IA, automazione e threat intel in tempo reale, le organizzazioni possono difendere proattivamente le infrastrutture contro attacchi sofisticati di furto informazioni e altre minacce in evoluzione.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento di Noodlophile Stealer: Nuovo Malware Distribuito Attraverso Falsi Strumenti di Generazione Video AI 5 min di lettura Ultime Minacce Rilevamento di Noodlophile Stealer: Nuovo Malware Distribuito Attraverso Falsi Strumenti di Generazione Video AI by Veronika Telychko Rilevamento Malware Fickle Stealer: Nuovo Stealer Basato su Rust Si Traveste da Software Legittimo per Rubare Dati da Dispositivi Compromessi 4 min di lettura Ultime Minacce Rilevamento Malware Fickle Stealer: Nuovo Stealer Basato su Rust Si Traveste da Software Legittimo per Rubare Dati da Dispositivi Compromessi by Veronika Telychko Rilevamento di PXA Stealer: Hacker vietnamiti colpiscono i settori pubblico ed educativo in Europa e Asia 6 min di lettura Ultime Minacce Rilevamento di PXA Stealer: Hacker vietnamiti colpiscono i settori pubblico ed educativo in Europa e Asia by Veronika Telychko
Tutte le notizie