une nouvelle campagne vise identifiants et cryptomonnaies

Une campagne d’infostealer utilisant Maranhão Stealer se propage via de faux sites de cracks et de logiciels piratés. Objectif : dérober identifiants, cookies et portefeuilles crypto.

Une nouvelle (mais classique) campagne active depuis mai 2025 diffusant le malware Maranhão Stealer. Distribué via des sites de cracks et de cheats (tricher dans un jeu vidéo), il exploite des installeurs piégés pour infecter les machines. Développé en Node.js et Go, l’infostealer s’installe furtivement sous « Microsoft Updater », contourne les protections des navigateurs et vole identifiants, cookies, historiques et portefeuilles crypto. Son usage de l’injection DLL réfléchie et de techniques d’évasion avancées démontre un haut niveau de sophistication.

Une distribution par l’ingénierie sociale

Le vecteur initial repose sur des sites attirant les victimes avec des cracks de jeux et logiciels populaires. Parmi eux figure derelictsgame[.]in, proposant de faux fichiers tels que DerelictSetup.zip ou Fnaf Doom.zip. Une fois téléchargés, ces paquets se présentent comme des installeurs classiques Inno Setup. Le code malveillant, écrit en Node.js, est intégré à ces exécutables, ce qui trompe les utilisateurs non avertis.

Comme ZATAZ peut souvent l’expliquer, l’attrait de logiciels gratuits et de cheats constitue un levier efficace de diffusion. En se faisant passer pour des ressources convoitées, les acteurs de la menace élargissent rapidement leur surface d’infection. Cette méthode, très répandue dans la cybercriminalité, se combine ici à des techniques d’installation furtives.

Persistance et évolution du malware

Dès son exécution, Maranhão Stealer se loge dans un répertoire nommé « Microsoft Updater ». L’élément principal, updater.exe, est programmé pour se lancer automatiquement grâce à des clés Run du registre et une tâche planifiée. Les fichiers déposés sont masqués par des attributs système et cachés, renforçant la discrétion.

Le malware réalise ensuite une reconnaissance poussée de l’hôte, incluant capture d’écran via PowerShell et collecte d’informations sensibles. Les chercheurs notent une évolution technique majeure : les premières versions utilisaient PsExec pour créer des processus fils, remplacé désormais par des appels directs à l’API Win32, beaucoup plus furtifs.

Une autre composante, infoprocess.exe, écrite en Go et obfusquée, assure le déchiffrement des mots de passe stockés. Cette modularité traduit une sophistication croissante et un effort continu de développement de la part des auteurs.

Ciblage des navigateurs et exfiltration des données

Le cœur de la menace réside dans le vol d’informations. Maranhão Stealer injecte en mémoire des DLL de manière réfléchie, afin de contourner les protections comme l’AppBound de Chrome. L’analyse a montré une collecte active sur Google Chrome, Edge, Brave et Opera : profils utilisateurs, historiques, cookies, téléchargements et identifiants enregistrés. Une collecte classique dans le monde des stealers.

Les chercheurs rapportent également une capacité d’adaptation, identifiée via l’analyse de dumps mémoire : le malware peut élargir ses cibles à d’autres navigateurs et aux portefeuilles de cryptomonnaies. Ces données sont ensuite transmises via des API liées à un domaine au nom du stealer (pas discret, zataz l’avait repéré grace à ce détail), utilisé pour le suivi des victimes et l’exfiltration.

Une infection réussie ouvre la voie au vol massif d’identifiants, au détournement de comptes, à la perte d’actifs numériques et au déploiement ultérieur d’autres malwares. La combinaison d’ingénierie sociale, de composants standards et de techniques avancées démontre un niveau de professionnalisation préoccupant. (Cyble)