Угроза нового стилера Maranhão: Node.js, рефлективная инъекция DLL и таргетирование геймеров

Злоумышленники используют социальную инженерию, распространяя троянизированные установщики игр, читы и пиратское программное обеспечение через веб-сайты, размещённые на облачных платформах. Примером такой вредоносной ссылки является hxxps://derelictsgame.in/DerelictSetup.zip. Жертвам предлагается загрузить ZIP-архив, содержащий установщик Inno Setup, который запускает скомпилированный бинарный файл Node.js, ответственный за кражу и передачу данных.

После выполнения вредоносный код маскируется в каталоге «Microsoft Updater» в пути %localappdata%\Programs. Для обеспечения постоянства присутствия малвар создаёт записи в реестре в разделе Run и планировщике задач, после чего запускает основной компонент updater.exe. На этом этапе происходит сбор системной информации, включая данные об оборудовании, сети и геолокации, а также делаются скриншоты экранов.

Особое внимание Maranhão Stealer уделяет краже данных из веб-браузеров и криптокошельков. Для обхода защитных механизмов, таких как AppBound-шифрование в Chrome, используется рефлективная инъекция DLL в процессы браузеров. Это позволяет злоумышленникам получать доступ к cookies, сохранённым учетным данным, токенам сессий и истории браузера.

Собранная информация временно сохраняется в каталоге %temp%, после чего передаётся на контролируемую злоумышленниками инфраструктуру, включая домен maranhaogang[.]fun и IP-адрес 104.234.65.186. Аналитики отмечают, что используются несколько API-эндпоинтов для отслеживания жертв и загрузки похищенных данных.

Изначально Maranhão Stealer использовал PsExec для создания дочерних процессов и содержал меньше механизмов скрытности. Однако новые версии демонстрируют повышенную изощрённость: теперь компоненты малвара размещаются в скрытых каталогах, а функциональность для расшифровки партей внедрена непосредственно в процесс infoprocess.exe, написанный на Go и дополнительно обфусцированный.

Среди целевых приложений - популярные браузеры, включая Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, Opera, а также криптокошельки Electrum, Atomic Wallet, Exodus и другие. Угроза представляет серьёзную опасность, поскольку успешное заражение может привести к компрометации аккаунтов, краже цифровых активов и последующему распространению других видов вредоносного ПО.

Эксперты рекомендуют пользователям избегать загрузки пиратского ПО и игровых читов, использовать антивирусные решения и регулярно обновлять операционную систему и приложения.

Domains

• api.maranhaogang.fun

URLs

• https://api.maranhaogang.fun/infect
• https://api.maranhaogang.fun/upload
• https://api.maranhaogang.fun/victim
• https://api.maranhaogang.fun:443/socket.io/?id=undefined&EIO=4&transport=

SHA256

• 0080f5a06a9f64019a7d5c7bec4fa390a781be762c2581939bb52135afddb940
• 0737f726e751d757e253b0c7aefd697552b075aff9dd661e354c1e87bc132c9a
• 15fafd21e86ed8a066543d13957e8de14ac68de58d65ec7e8a3b7600c20b9e8e
• 16837d2715bc4afb190c08013ba185b4e62dc65fcbd5320f2dfe6f6be2ca9c27
• 1c0fb1550b2ac6173c4861fd2a0dd84d0ddcefeb8aeb33b6ba4dc25d9fefaeb6
• 299ebbec35850a7a3aaedb743186580fcd4329e2a4cd606560227f817f99557e
• 30dce6d07ea67d4e9dfe848a9245051b26dd3f8c84b9b09a490668d2d01ed715
• 30f4b6d879b7a0a5a817bbfc9bdbcc5171f2000b76c5a90e29a3158cbbe197af
• 393b50b37922fb6dbf183d9b403110f5c4dee18ae5cddd68ca99a38bf84e049f
• 3a71b8f0e4881d8d6888abd7830b4aeede20c7db9687307ae0faa25d53e6002c
• 3ed719b54995c349e6e898064521321961679702407533db8e5552ab97ee46a6
• 439eb3631638c61842a20e47e1a31d3c1e917f37688bc3ccdac67dae030117a6
• 4b13407aaf3a4bb239387de96840db6f246f651a010298212b1020c927fa8f96
• 4fdada503206c41d77a5949aee1404c40830d76c4a14c59abea6c235e7a2b9d5
• 55fc5069e54a35f693bde04f82503752c6dafa5f36c5c35ffbb8ee7c0bd745c6
• 5c29934925df4dad85f5930c61b32b738fb1cfc9befd60966208ccb73dbd8db0
• 61c01c3bd2ed568eea8cf9f51de4cabeebecb7db437a46b424ffff6e1d0ca3a4
• 7782f373c32dd2c2017a1cf44b070944fb24add03cc95c6106c2ef4ef01bbc27
• 7eb7103109977c1af4076be0f234160ce356150173b0e536aa97598d4583ef9b
• 863b34c260b9b393f466f99b9199d28a588a2bf4daf83174664fff0b7073093b
• 97813e1c66dc8922b8242d24a7a56409b57ce19c61042ffda93031c43a358b9b
• 97eda27517bb85a0385c4ad6c090a84be38e97998248f4dacfc379b2958209c0
• 9da9d5717b7ee173854a0a4646964415e80b9ec2fa2a0cbe932c0054d5b71362
• 9e6d264b3ab48faf8c89a6e3afb7fe05039bdd82f1fc4af7d3298f9d4337578e
• a6b68fbdb15945a83bfc84c47f9ee584126f085efac95a89785302134b0a11c0
• b0973b4a9b8f713a0760e65f717b6fb7b392c2e8e14e07dddfefecb915cca6b2
• b0a3311f94eb2e87c560b2cde9029a8a5293883777a28fddbf4e4d0672d985f0
• b50924f958bb6b49ede6497401dcadc328e3538adf5dca6d66362bcd321a3d00
• c20e72a39a2e4b808bc86dd2a7c88a54c58accbdbe96e405b769f9096b9c97af
• c8a0cd84d6c8a4d5f7a893744538cbc8b08417468b9c5bd5032b7cdf6d060b34
• d312535b87913542d3f3d0814bb792773c3a2ed561cca43e03892642bf59027a
• d45faeb90d706476c2ad52c183c4ca2e2d72fe2bf840d0f38b83193997a2cdde
• ec335c3d2048bb62418526d4d34b386fcad10b8f8805f07d460962ecbd48ab41