Desde mayo de 2025, un novedoso robador de credenciales denominado Maranhão Stealer ha surgido como una amenaza significativa para los usuarios de software de juego pirateado. Distribuido a través de sitios web engañosos que alojan lanzadores y trucos agrietados, el malware aprovecha las plataformas alojadas en la nube para entregar instaladores troyanizados que parecen inocuos.
Tras la ejecución, el instalador desempaqueta un nodo.js compilado binario encapsulado en un ejecutable de Inno Setup, iniciando un proceso de infección silencioso que evita la detección de usuarios al cosechar datos confidenciales.
En sus campañas iniciales, los actores de amenazas atrajeron a las víctimas con enlaces de descarga atractivos como DerelictSetup.zip, prometedor contenido de juego modificado.
Sin embargo, detrás de escena, el Wrapper de configuración Inno deja deja varios componentes, incluidos Updater.exe, Crypto.Key e Infoprocess.exe, en un directorio oculto “Microsoft Updater” en %LocalAppData %\ Programas.
Cadena de infección (Fuente – Cibal)
Los analistas de Cyble señalaron que el malware establece la persistencia a través de claves de registro de ejecución y tareas programadas inmediatamente después del despliegue.
El impacto de Maranhão Stealer se extiende más allá del simple robo de credenciales. Al inyectar una DLL reflectante en los procesos del navegador, omite las medidas de seguridad como el cifrado de AppBound para exfiltrar las contraseñas almacenadas, las cookies e historial de navegación de Chrome, Edge, Brave, Opera y otros navegadores basados en cromo.
Investigadores cibal identificado que el malware también se dirige a las billeteras de criptomonedas (electro, éxodo, coinomi y más, lo que lo hace una doble amenaza para las credenciales de cuenta tradicionales y las billeteras de activos digitales.
Además de la recolección de credenciales, Maranhão Stealer realiza un extenso reconocimiento del sistema. Reúne información de hardware y red a través de consultas de WMI como WMIC OS Get Get Staterción y llamadas de API externos a IP-Api.com/json, perfilando el sistema operativo, la CPU, el espacio de disco y la ubicación geográfica del host infectado.
Capturas de pantalla capturadas a través de la línea en línea en PowerShell aumentan aún más la inteligencia robada, lo que permite a los actores de amenaza a monitorear la actividad del usuario en tiempo real.
Mecanismo de infección
Un examen más detallado del mecanismo de infección revela un proceso de varias etapas diseñado para el sigilo y la confiabilidad.
Tras la ejecución del instalador de configuración de Inno, la carga útil principal (updater.exe) se inicia en el modo /muy silent, suprimiendo cualquier diálogo de instalación.
La persistencia se asegura inmediatamente con una modificación del registro:-
Reg.exe Agregar HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run /V Updater /T Reg_sz /D “C: \ Users \\ AppData \ Local \ Programas \ Microsoft \ Updater.exe” /f Persistencia a través del registro (fuente – Cyble)
Una vez que la tecla Ejecutar está en su lugar, el malware marca su directorio y archivos con atributos ocultos y del sistema a través de Attrib +H +S, asegurando que permanezcan oscurecidos por la inspección casual.
La siguiente fase implica generar un proceso auxiliar, Infoprocess.exe, que inyecta una DLL de carga útil directamente en los procesos de navegador en ejecución.
Utilizando las API de Windows de bajo nivel, NNTALLOCACTVIRTualMemory, NTWriteProcessMemory y CreateThreadEx, el módulo malicioso se asigna al espacio de memoria del objetivo sin tocar el disco.
Esta técnica de inyección reflexiva no solo evade escaneos antivirus, sino que también corre dentro del contexto de ejecutables legítimos de navegador, lo que hace que la detección sea aún más desafiante.
Al combinar la ingeniería social, la distribución basada en la nube y las tácticas avanzadas de inyección, Maranhão Stealer ejemplifica la sofisticación en evolución de los robadores de credenciales modernos.
Los equipos de seguridad deben priorizar las políticas de control de la aplicación, el monitoreo de puntos finales para las ediciones de registro anómalos y el análisis de comportamiento para detectar y bloquear tales amenazas sigilosas en sus primeras etapas.
¡Webinar gratuito en vivo en nuevas tácticas de malware de nuestros analistas! Aprenda técnicas de detección avanzada -> Regístrese gratis
