Cyble Tehdit İstihbarat Araştırmacıları, Maranhão Stealer’ı korsan yazılım, çatlamış oyun başlatıcıları ve hileler sunduğunu iddia eden sosyal mühendislik web siteleri aracılığıyla yayan bir Infostealer kampanyası ortaya çıkardılar.
Tehdit oyuncusu kurbanları DerielcictSgame gibi sitelerden çekiyor[.]Cyble Researchers bugün bir blog yazısında DerielictSetup.zip ve FNAF Doom.zip gibi kötü niyetli dosyalarla bugün bir blog yazısında yazdı.
Kötü amaçlı yazılım Node.js ile yazılmıştır ve bir Inno kurulum yükleyicisi olarak paketlenmiştir. Kalıcılık oluşturmak için çalışma kayıt defteri anahtarlarını ve planlanan görevleri kullanır, yüklerini sistem ve gizli özellikler olarak gizler, ayrıntılı ana bilgisayar keşifleri yapar ve kimlik bilgileri, çerez ve kripto para cüzdanı verileri gibi hassas bilgileri, chrome’un applibound şifreleme gibi korumalarla yansıtıcı dll enjeksiyonu ile enjeksiyonu ile çıkarır.
Cyble, “Yansıtıcı DLL enjeksiyonunun dahil edilmesi ve uygulamaya duyulan veri toplama sofistike olmasının altını çiziyor” dedi. “Başarılı olursa, enfeksiyonlar yaygın kimlik bilgisi uzlaşmasına, hesap kaçırmaya, dijital varlıkların hırsızlığına ve mağdur ortamlarda daha fazla kötü amaçlı yazılım dağıtımına yol açabilir.”
Maranhão Infostealer kampanyası kimlik bilgilerini hedefliyor, kripto
Araştırmacılar, Maranhão Stealer’ın Mayıs 2025’ten beri aktif olduğunu ve aktif olarak geliştirilmeye devam ettiğini söyledi.
Bir kez yürütüldükten sonra, kötü amaçlı yazılım %localAppdata %\ programları altında “Microsoft Updater” adlı bir dizinde gizlenir. Ana bileşeni olan updater.exe’yi başlatmadan önce kalıcılık elde etmek için Run Run Defter anahtarları ve planlanmış bir görev oluşturur.
Araştırmacılar, “Bu noktadan sonra, kötü amaçlı yazılım, web tarayıcılarına ve kripto para cüzdanlarına odaklanarak kapsamlı sistem keşif, ekran yakalama ve kimlik bilgisi hırsızlığı yürütüyor” diye yazdı.
Parola-tahliye işlevselliği, Go’da yazılmış ve gizlilik için gizlenmiş InfoProcess.exe’ye yerleştirilmiştir. Araştırmacılar, daha önceki sürümlerde olduğu gibi, daha önceki sürümlerin yapıldığı gibi çocuk süreçlerini ortaya çıkarmak için Psexec’i kullanmak yerine, kötü amaçlı yazılım artık doğrudan Win32 API çağrıları yoluyla çocuk süreçleri oluşturuyor ve “daha gizli ve daha sofistike yürütme tekniklerine doğru net bir evrimi yansıtıyor” dedi.
Araştırmacılar, temel Maranhão Stealer işlevselliği ve hedeflerinin kötü amaçlı yazılımların evrimi boyunca tutarlı kaldığını söyledi. “Kampanya, tehdit aktörlerinin sosyal mühendislik, emtia araçları ve modern gelişim yığınlarını sofistike bilgi çalan kötü amaçlı yazılımları ölçeklendirmeleri için nasıl birleştirdiğini gösteriyor” diye yazdı.
Maranhão Stealer kötü amaçlı yazılım analizi
Cyble tarafından tanımlanan kötü amaçlı dosyalardan bazıları şunları içerir: fnafdoomlauncher.exe, fnaf.exe, rootedthegamesetup.zip, slinkyhook.exe ve daha fazlası.
Araştırmacılar fnafdoomlauncher.exe’nin teknik bir analizini yaptılar. Yükleyici, gizli için “/çoklu” modunda çalışır, ardından updater.exe ve crypto.ey gibi bileşenleri c: \ users \ dizinine bırakır
Kötü amaçlı yazılım daha sonra, Microsoft Updater dizinindeki dosyaları hem sistem hem de gizli niteliklerle işaretleyerek tespitten kaçınmak için bileşenlerini gizler. Stealer ayrıca, her ekranın içeriğini yakalamak için PowerShell içindeki satır içi C# kodunu kullanarak ekran yakalama işlevselliğini de yükler.
Sistem keşfi tamamladıktan sonra, stealer yükü dikkatini web tarayıcılarından veri hırsızlığına çevirir. Araştırmacılar, kötü amaçlı yazılımın, analiz ortamlarında Google Chrome, Microsoft Edge, Cesur ve Opera’dan aktif olarak verileri topladığını, kullanıcı profillerini numaralandırdığını ve tarama geçmişini, çerezleri, kayıtları indirdiğini ve kaydedilmiş giriş bilgilerini çıkardığını söyledi.
Bellek dökümü analizinde diğer tarayıcılar ve kripto para birimi cüzdanları dahil olmak üzere ek hedeflerin tanımlandığını söylediler. “Bu, kötü amaçlı yazılımların daha geniş yeteneklere sahip olduğunu ve mağdurun ortamına bağlı olarak davranışını uyarlayabileceğini gösteriyor” diye yazdılar.
Kötü amaçlı yazılım ayrıca, alan adı altında barındırılan birkaç API ile temasa geçti.[.]Eğlence, muhtemelen ilk enfeksiyon raporlaması, kurban izleme ve veri açığa çıkması için.
Tam Cyble Blog, kötü amaçlı yazılımlara derin bir dalış alır ve ayrıca öneriler ve 45 uzlaşma göstergesi (IOCS) ve dosya karmalar içerir.