自2025年5月以来,一种名为Maranhão Stealer的新型凭证窃取者已经成为盗版游戏软件用户的重大威胁。该恶意软件通过托管破解发射器和作弊程序的欺骗性网站分发,利用云托管平台提供看似无害的木马安装程序。
执行时,安装程序会解压封装在Inno Setup可执行文件中的Node.js编译二进制文件,启动一个静默感染进程,该进程在收集敏感数据时能避免被用户检测到。
在最初的活动中,威胁行为者通过诱人的下载链接(如DerelictSetup.zip)吸引受害者,这些链接承诺提供修改后的游戏内容。
然而在幕后,Inno Setup封装程序会将多个组件(包括updater.exe、crypto.key和infoprocess.exe)放入%localappdata%\Programs目录下一个隐藏的“Microsoft Updater”文件夹中。
Cyble的分析师指出,该恶意软件在部署后会立即通过运行注册表项和计划任务来建立持久性。
马拉尼昂窃取器的影响不仅限于简单的凭证窃取。通过向浏览器进程注入反射型DLL,它可以绕过AppBound加密等安全措施,从Chrome、Edge、Brave、Opera以及其他基于Chromium的浏览器中窃取存储的密码、Cookie和浏览历史。
Cyble的研究人员发现,该恶意软件还会针对加密货币钱包——包括Electrum、Exodus、Coinomi等,这使其成为对传统账户凭证和数字资产钱包的双重威胁。
除了窃取凭证外,马拉尼昂窃取者还会进行广泛的系统侦察。它通过WMI查询(如wmic os get Caption)和对ip-api.com/json的外部API调用收集硬件和网络信息,分析受感染主机的操作系统、CPU、磁盘空间和地理位置。
通过PowerShell中的内联C#捕获的屏幕截图进一步增强了窃取的情报,使威胁行为者能够实时监控用户活动。
感染机制
对感染机制的深入研究揭示了一个旨在实现隐蔽性和可靠性的多阶段过程。
运行Inno Setup安装程序后,主有效负载(updater.exe)会以/VERYSILENT模式启动,从而抑制所有安装对话框。
通过修改注册表可立即确保持久性:
reg.exe ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v updater /t REG_SZ /d "C:\Users\<username>\AppData\Local\Programs\Microsoft Updater\Updater.exe" /f
一旦Run键就位,恶意软件就会通过attrib +h +s为其目录和文件标记隐藏和系统属性,确保它们在常规检查中不被发现。下一阶段包括启动一个辅助进程infoprocess.exe,该进程会将一个有效载荷DLL直接注入到正在运行的浏览器进程中。该恶意模块利用低级Windows API(NtAllocateVirtualMemory、NtWriteProcessMemory和CreateThreadEx),在不接触磁盘的情况下映射到目标的内存空间中。
这种反射注入技术不仅能避开 antivirus 扫描,还能在合法浏览器可执行文件的环境中运行,这使得检测变得更加困难。
通过结合社会工程学、基于云的分发方式以及先进的注入策略,马拉尼昂窃取器体现了现代凭证窃取工具日益提升的复杂性。
安全团队应优先考虑应用程序控制策略、针对异常注册表编辑的端点监控以及行为分析,以便在这类隐蔽威胁的早期阶段对其进行检测和拦截。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
