마라냥 스틸러 탐지: Node.js 기반 정보 탈취 악성코드, Reflective DLL Injection 적용

정보 탈취 악성코드는 사이버 위협 환경에서 급속히 증가하고 있습니다. ESET 보고서에 따르면 SnakeStealer는 2025년 상반기에 활동이 거의 두 배로 증가하여 가장 많이 탐지된 인포스틸러가 되었으며, 전체 인포스틸러 탐지의 약 20%를 차지했습니다. 한편, Maranhão Stealer라는 새로운 캠페인이 등장했으며, 클라우드 서비스에 호스팅된 악성 불법 소프트웨어를 통해 게이머를 표적으로 삼고 있습니다. 이 캠페인은 사회 공학과 고급 회피 기법을 결합하여 사용자 계정과 암호화폐 지갑을 탈취하는 자격 증명 탈취 작전의 심각한 변화를 보여줍니다.

Maranhão Stealer 탐지

고급 공격 도구의 등장과 탐지 회피 기법은 위협 행위자가 레이더에 걸리지 않고 활동하도록 하여 정보 탈취 악성코드의 발전에 기여합니다. ClickFix와 생성 AI의 결합은 더 정교하고 대규모의 인포스틸러 캠페인을 촉진합니다.

SOC Prime Platform 등록을 통해 전 세계 조직은 사이버 공격에 선제적으로 대응할 수 있습니다. SOC Prime Platform은 Sigma 규칙과 AI 생성 콘텐츠를 큐레이션하여 보안팀이 새롭게 등장한 Maranhão Stealer 캠페인을 선제적으로 탐지할 수 있도록 지원합니다. 아래 Explore Detections 버튼을 클릭하면 감사 구성, 오탐 데이터 메타정보, 분류 권장 사항, MITRE ATT&CK® 참조 등 종합적인 사이버 위협 컨텍스트가 포함된 탐지 목록에 접근할 수 있습니다.

Explore Detections

탐지 코드는 여러 SIEM, EDR, 데이터 레이크 언어 형식으로 즉시 변환 가능하며, 인스턴스에 배포 후 Uncoder AI를 사용하여 특정 보안 요구 사항에 맞게 조정할 수 있습니다. 최신 Uncoder AI 업데이트는 AI 챗봇 인터페이스와 MCP 도구를 통해 보안팀이 탐지 엔지니어링 작업을 종합적으로 관리할 수 있는 고급 기능을 제공합니다.

Maranhão Stealer 분석

Cyble 분석가들은 클라우드 플랫폼에서 호스팅되는 소셜 엔지니어링 사이트를 통해 배포되는 Maranhão Stealer 캠페인을 발견했으며, 마루화웨어는 2025년 5월 이후 활동 중이며 지속적으로 개발되고 있습니다. 공격자는 주로 게이머를 표적으로 삼아 게임 관련 링크, 치트, 불법 소프트웨어 다운로드(예: hxxps://derelictsgame.in/DerelictSetup.zip)로 유인합니다. 악성코드는 ZIP 아카이브로 배포되며, Inno Setup 설치 프로그램을 통해 Node.js로 컴파일된 바이너리를 실행하여 자격 증명을 탈취합니다. Maranhão Stealer는 지속성과 회피성을 확보하며, 페이로드를 시스템 및 숨김 파일로 은닉하고 상세한 호스트 조사 수행 후 Reflective DLL Injection을 통해 자격 증명, 쿠키, 브라우저 기록, 지갑 데이터를 추출하여 마루웨어의 고도화를 보여줍니다.

실행 후 Maranhão Stealer는 %localappdata%\Programs의 “Microsoft Updater” 폴더에 숨겨지며, Run 레지스트리 키와 예약 작업을 통해 지속성을 확보하고 updater.exe를 실행합니다. 이후 시스템 조사, 화면 캡처, 자격 증명 탈취를 수행하며 브라우저와 암호화폐 지갑을 대상으로 삼습니다. Chrome의 AppBound 암호화 회피를 위해 Reflective DLL Injection을 사용하여 쿠키, 저장된 자격 증명, 세션 토큰을 추출하고 로컬에서 준비한 후 공격자 인프라로 전송합니다.

초기 버전은 PsExec과 Go 기반 decryptor.exe를 C:\Windows에 배치하여 평문 비밀번호를 복구하고 가시적 흔적을 남겼습니다. 최신 빌드는 더 은밀하며, 난독화된 Go 기반 infoprocess.exe에 비밀번호 복구 기능을 내장하고 PsExec 대신 Win32 API 호출을 사용해 프로세스를 생성합니다. 샘플마다 약간의 차이는 있으나 핵심 기능은 일관되며, 공격자가 사회 공학, 범용 도구, 최신 개발 스택을 결합하여 고급 인포스틸러를 대규모로 배포함을 보여줍니다.

Maranhão Stealer는 불법 소프트웨어와 게임 관련 미끼를 통한 사회 공학을 활용하며, 트로이화된 설치 프로그램, 크랙된 런처, 치트를 인기 게임 또는 수정 게임으로 위장해 배포합니다. 실행 후 updater.exe는 reg.exe를 사용해 Run 레지스트리 키를 생성하고 Microsoft Updater 디렉토리에서 사용자 로그인 시 실행되도록 하여 지속성을 확보합니다. 이후 attrib.exe를 통해 System 및 Hidden 속성을 설정해 구성 요소를 은폐합니다. 호스트 정보 수집 시 WMI 쿼리를 사용하여 OS 버전, CPU 모델, GPU, 하드웨어 UUID, 디스크 메트릭을 수집하고, ip-api.com/json에서 네트워크 및 지리 위치 데이터도 수집합니다. 이를 통해 환경 지문화, 샌드박스 탐지, 취약성 평가가 가능합니다. 또한 화면 캡처를 수행하여 피해자 시스템의 시각적 컨텍스트를 수집합니다.

조사 후 Stealer는 주요 브라우저에서 데이터 탈취를 수행하며, 사용자 프로필을 열거하여 브라우저 기록, 쿠키, 다운로드 기록, 저장된 자격 증명을 추출합니다. DLL 주입 체인은 infoprocess.exe를 생성하고 브라우저 이름을 매개변수로 전달하여 시작됩니다. 헬퍼 프로세스는 브라우저를 헤드리스 모드로 실행하여 창을 표시하지 않고 은밀하게 데이터 추출을 수행합니다.

Maranhão Stealer 공격의 잠재적 완화 조치로, 조직은 의심스러운 동작, 프로세스 주입, 레지스트리 변경, 무단 데이터 유출을 탐지하고, 무단 바이너리 실행을 제한하여 유사 정보 탈취 캠페인의 위험을 최소화해야 합니다.

Maranhão Stealer 캠페인은 공격자가 불법 게임 소프트웨어를 통한 사회 공학을 활용해 자격 증명 및 암호화폐를 탈취하고, 난독화, 지속성, Reflective DLL Injection을 사용하여 탐지를 회피하는 고급 전략을 보여주며, 방어자는 신속하고 경계심 있는 대응이 필요합니다. AI, 자동화, 실시간 위협 인텔리전스를 기반으로 한 SOC Prime의 전체 제품군을 활용하면 조직은 정교한 정보 탈취 공격과 기타 진화하는 위협으로부터 인프라를 선제적으로 보호할 수 있습니다.