Maranhão Stealer検知：Node.jsベースの情報窃取マルウェアがReflective DLL Injectionを適用

情報窃取マルウェアは、サイバー脅威の状況において急速に増加しています。ESETの報告によると、SnakeStealerは2025年前半で活動がほぼ倍増し、最も検出されたインフォスティーラーとなり、全インフォスティーラー検出の約20%を占めています。その一方で、Maranhão Stealerと呼ばれる新しいキャンペーンが出現し、クラウドサービス上でホストされた悪意のある海賊版ソフトウェアを介してゲーマーを標的としています。このキャンペーンは、ソーシャルエンジニアリングと高度な回避技術を組み合わせてユーザーアカウントや暗号通貨ウォレットを侵害する、資格情報窃取の運用における深刻な変化を示しています。

Maranhão Stealerの検知

高度な攻撃者ツールの出現と検知回避手法は、脅威アクターがレーダーの下に潜伏することを可能にし、情報窃取マルウェアの進化に寄与しています。ClickFixのような新しい配信手法と生成AIの力を組み合わせることで、より高度で大規模なインフォスティーラーキャンペーンが促進されています。

SOC Prime Platformに登録すると、サイバーセキュリティの専門知識とAIを活用して、世界中の組織が最も予測されるサイバー攻撃に先手を打つことができます。SOC Prime PlatformはSigmaルールとAI生成コンテンツをキュレーションし、セキュリティチームが新たに出現するMaranhão Stealerキャンペーンをプロアクティブに検知できるよう支援します。下のExplore Detectionsボタンをクリックして、監査設定、誤検知データのメタ情報、トリアージ推奨事項、MITRE ATT&CK®参照など、包括的なサイバー脅威コンテキストが強化された関連検知リストにアクセスできます。

Explore Detections

検知コードは、複数のSIEM、EDR、Data Lake言語形式に即座に変換可能で、インスタンスに展開し、Uncoder AIで特定のセキュリティ要件に合わせて調整できます。最新のUncoder AIアップデートでは、AIチャットボットインターフェースとMCPツールを用いて、セキュリティチームが検知エンジニアリング作業をエンドツーエンドで管理できる高度な機能が導入されています。

Maranhão Stealerの分析

Cybleのアナリストは、クラウドプラットフォーム上のソーシャルエンジニアリングサイトを通じて配布されるMaranhão Stealerキャンペーンを発見しました。マルウェアは2025年5月以降活動中で、継続的に開発されています。攻撃者は主にゲーマーをターゲットにしており、ゲーム関連リンク、チート、海賊版ソフトウェアのダウンロードで被害者を誘導します（例：hxxps://derelictsgame.in/DerelictSetup.zip）。マルウェアはZIPアーカイブで配布され、Inno Setupインストーラーを通じてNode.jsでコンパイルされたバイナリを起動し、資格情報を抽出します。Maranhão Stealerは永続性と回避性を確保し、ペイロードをシステムファイルおよび隠しファイルとして隠し、詳細なホスト情報収集を行います。その後、Reflective DLL Injectionを介して資格情報、クッキー、ブラウザ履歴、ウォレットデータを抽出し、マルウェアの高度化を示しています。

実行後、Maranhão Stealerは%localappdata%\Programsの「Microsoft Updater」フォルダに隠れ、Runレジストリキーとスケジュールタスクを通じて永続性を確立し、updater.exeを起動します。次に、システム情報収集、スクリーンキャプチャ、資格情報窃取を行い、ブラウザや暗号通貨ウォレットを標的とします。ChromeのAppBound暗号化を回避するため、Reflective DLL Injectionを使用してクッキー、保存された資格情報、セッショントークンを抽出し、ローカルで準備して攻撃者のインフラに送信します。

初期のバリアントはPsExecおよびGoベースのdecryptor.exeをC:\Windowsに配置し、平文パスワードを取得して可視痕跡を残していました。最新のビルドはよりステルス性が高く、Goで難読化されたinfoprocess.exeにパスワード回復機能を統合し、PsExecの代わりにWin32 API呼び出しでプロセスを生成します。サンプルごとの軽微な差異はあるものの、コア機能は一貫しており、攻撃者がソーシャルエンジニアリング、汎用ツール、最新の開発スタックを組み合わせて高度なインフォスティーラーを大規模に配布していることを示しています。

Maranhão Stealerは海賊版ソフトやゲーム関連の餌を通じてソーシャルエンジニアリングを活用し、トロイ化されたインストーラー、改造ランチャー、チートを人気ゲームや改変ゲームとして偽装して配布します。起動後、updater.exeはreg.exeを使用してRunレジストリキーを作成し、Microsoft Updaterディレクトリからユーザーのログオン時に実行されるよう永続性を確立します。次に、attrib.exeでSystemおよびHidden属性を設定してコンポーネントを隠します。ホスト情報の収集では、WMIクエリを使用してOSバージョン、CPUモデル、GPU、ハードウェアUUID、ディスクメトリクスを取得し、ip-api.com/jsonからネットワークおよびジオロケーションデータも収集します。これにより、環境のフィンガープリント、サンドボックス検知、脆弱性評価が可能になります。さらに、スクリーンキャプチャを行い、被害者システムからの視覚的コンテキストを収集します。

情報窃取の対象は主要ブラウザで、ユーザープロファイルを列挙して閲覧履歴、クッキー、ダウンロード記録、保存された資格情報を抽出します。DLL注入チェーンは、infoprocess.exeを生成し、ブラウザ名をパラメータとして渡すことで開始されます。ヘルパープロセスはブラウザをヘッドレスモードで実行し、ウィンドウを表示せずに秘密裏にデータ抽出を可能にします。

Maranhão Stealer攻撃の潜在的な緩和策として、組織は疑わしい挙動、プロセス注入、レジストリ変更、無許可のデータ流出を検知し、無許可バイナリの実行を制限することで、同様の情報窃取キャンペーンのリスクを最小化すべきです。

Maranhão Stealerキャンペーンは、攻撃者が海賊版ゲームソフトを介したソーシャルエンジニアリングにより資格情報や暗号通貨を流出させ、難読化、永続性、Reflective DLL Injectionで検知回避する高度な戦術を使用することを示しており、防御者には迅速かつ警戒心を持った対応が求められます。AI、オートメーション、リアルタイム脅威インテリジェンスを活用したSOC Primeの完全な製品スイートにより、組織は高度な情報窃取攻撃やその他の重要な進化する脅威からインフラをプロアクティブに防御できます。