Maranhão Stealer: Roba Credenciales Desde Juegos Pirata y tu Navegador

Si alguna vez has descargado un “launcher” de un juego, un crack o un “mod” desde una web sospechosa, este artículo es para ti. Desde mayo de 2025 circula Maranhão Stealer, un infostealer escrito en Node.js que se hace pasar por instaladores de juegos y herramientas “gratis”. Su objetivo: robar credenciales, cookies, historiales y datos de wallets para vaciar cuentas o secuestrar sesiones. Y lo hace con técnicas avanzadas, como inyección DLL reflectiva dentro de tu navegador, para saltarse protecciones modernas.

En TecnetOne te explicamos, en claro y directo, cómo opera, por qué es tan efectivo y qué puedes hacer hoy para protegerte en casa y en tu empresa.

¿Cómo te infecta?

Los operadores del malware montan sitios de ingeniería social en plataformas cloud y los disfrazan de portales de juegos, “cheats” o descargas de software pirata. El gancho suele ser un ZIP con un instalador Inno Setup (por ejemplo, nombres tipo Fnafdoomlauncher.exe, VersionX64_Setup.exe, RootedTheGameSetup.zip, etc.).

Cuando lo ejecutas:

1. Despliegue sigiloso: el instalador corre en modo “/VERYSILENT” (sin diálogos) y deja varios ficheros en
   %LocalAppData%\Programs\Microsoft Updater\ (por ejemplo, updater.exe, infoprocess.exe, crypto.key), una carpeta que suena legítima.

1. Persistencia: crea una entrada Run en el registro y/o una tarea programada para arrancar en cada inicio de sesión.

1. Ocultación: marca archivos y carpeta con atributos Hidden y System para que no los veas a simple vista.

Cadena de infección (Fuente: CYBLE)

También podría interesarte: Infostealer: Un Ataque al Acecho

¿Qué hace en tu equipo?

Reconocimiento completo del sistema

Antes de robar nada, perfila tu equipo con consultas WMI (versión de Windows, CPU, GPU, discos, UUID), y además consulta tu IP y geolocalización (país, ciudad, ASN, ISP) para decidir cómo actuar.

Variante inicial (izquierda) y Variante nueva (derecha) (Fuente: CYBLE)

Capturas de pantalla

Lanza PowerShell con C# embebido para capturar todas tus pantallas y guardarlas como PNG. Con esto valida que “estás ahí”, ve aplicaciones abiertas y puede monitorear actividad sensible (correo, banca, CRM, etc.).

Archivos de instalación (Fuente: CYBLE)

Robo de credenciales y cookies

Aquí está su fortaleza. Arranca tu navegador en modo headless (Chrome, Edge, Brave, Opera y más) y inyecta una DLL de forma reflectiva en el proceso del navegador (sin tocar disco).

1. Usa APIs de bajo nivel (NtAllocateVirtualMemory, NtWriteProcessMemory, CreateThreadEx) para colarse en memoria.

1. Así evita protecciones como el AppBound encryption de Chrome y accede a cookies, contraseñas guardadas, tokens de sesión e historial.

1. Consolida todo en %TEMP% y luego exfiltra a su infraestructura (p. ej., dominio maranhaogang[.]fun y direcciones controladas por el actor).

Persistencia a través del registro (Fuente: CYBLE)

Wallets y más

Aunque su foco son navegadores, el código y los artefactos analizados muestran objetivos adicionales: wallets de criptomonedas (Electrum, Exodus, Atomic, Coinomi, Guarda…) y otros navegadores derivados. Si detecta que usas cripto, intentará vaciar saldos o secuestrar claves.

attrib.exe (Fuente: CYBLE)

¿Por qué es difícil de detectar?

1. Tecnología moderna, empaque clásico: escrito en Node.js, empaquetado con Inno Setup, y con componentes en Go ofuscados. Mezcla “stack” moderno con técnicas curtidas.

1. Evolución rápida: las variantes recientes abandonaron huellas obvias (como dejar utilidades en C:\Windows\) y ahora viven en rutas de usuario con nombres verosímiles.

1. Evasión de análisis: esconderse como “Microsoft Updater”, usar atributos de sistema/oculto, y no dejar caer DLLs en disco le da ventaja frente a antivirus tradicionales.

1. Inyección reflectiva en navegadores: le permite leer secretos en memoria, donde están las cookies y tokens que mantienen tu sesión abierta.

ip-api.com para recopilar los detalles de la víctima (Fuente: CYBLE)

¿A quién apunta?

Principalmente a gamers y a quien busca software pirata o “cheats”. Pero eso es solo la puerta de entrada: una vez dentro, la información de trabajo también queda al alcance. Si usas el mismo equipo para ocio y tareas de la empresa, el riesgo se multiplica: SaaS, correo, CRM, nube, banca… todo pasa por el navegador.

Captura de pantalla (Fuente: CYBLE)

Lee más: La Evolución del Infostealer Jupyter: Una Amenaza Emergente

Señales de alerta

1. Carpeta “Microsoft Updater” en %LocalAppData%\Programs\ con ejecutables desconocidos (updater.exe, infoprocess.exe, crypto.key).

1. Aumento repentino de procesos del navegador o instancias “headless”.

1. Capturas de pantalla inesperadas (archivos Display (1).png, etc.).

1. Conexiones salientes a dominios o IPs raras (por ejemplo, subdominios de maranhaogang[.]fun).

1. Persistencia en HKCU\Software\Microsoft\Windows\CurrentVersion\Run\.

Robando datos del navegador (Fuente: CYBLE)

Cómo protegerte (y proteger a tu empresa)

Para ti (usuario final)

1. No descargues cracks, “mods” o launchers fuera de tiendas oficiales. Lo “gratis” sale carísimo.

1. Activa el aislamiento de navegador (perfiles separados, navegadores distintos para banca/trabajo).

1. Autenticación multifactor (MFA) en todos tus servicios. Evita SMS; prefiere TOTP o llaves de seguridad.

1. Gestor de contraseñas y contraseñas únicas. Si una cae, que no abra todas las puertas.

1. Antivirus/EDR real y actualizado; desconfía de “limpiadores milagro”.

1. Revisa contraseñas guardadas en el navegador y borra las que no necesites; deshabilita el autoguardado si manejas datos sensibles.

1. Cambia credenciales si sospechas: primero correo (recuperación), luego el resto. Cierra sesiones desde el panel de cada servicio.

Inicia el navegador en modo sin cabeza (Fuente: CYBLE)

Para tu organización

1. EDR con detección de inyección en memoria y reglas para procesos headless de navegador.

1. Control de aplicaciones (allowlisting) para impedir que Inno Setup y binarios no firmados se ejecuten en áreas de usuario.

1. DNS/Proxy filtrado y TI con Threat Intelligence para bloquear dominios C2 conocidos y look-alikes.

1. Políticas de navegador (Chrome/Edge enterprise): desactivar almacenamiento de contraseñas, proteger cookies, aislar sitios críticos, forzar HTTPS-Only.

1. Segmentación de redes y acceso mínimo a SaaS (Zero Trust): si roban una sesión, que el daño sea limitado.

1. Hardening de PowerShell (Constrained Language Mode, Script Block Logging).

1. Playbooks de IR para infostealers: revocación de tokens/sessiones, rotación de contraseñas, invalidación de cookies, revisión de accesos en SaaS, notificación a usuarios.

En TecnetOne de la mano con Acronis podemos integrarlos en tu SIEM/SOAR, ajustar detecciones en tu EDR y simular la cadena de ataque para medir tu cobertura.

Cargador reflexivo en chrome.exe (Fuente: CYBLE)

¿Qué hacer si ya te infectaste?

1. Aísla el equipo (red fuera).

1. Adquiere memoria y disco (si es entorno corporativo) para análisis forense.

1. Reinstala desde imagen confiable; evita “limpiezas” superficiales.

1. Rotación de credenciales y revocación de sesiones (correo, SSO, SaaS, banca).

1. Revisa wallets: mueve fondos a nuevas claves generadas en equipo limpio.

1. Monitorea accesos anómalos varios días (los actores reintentan).

Datos robados (Fuente: CYBLE)

En TecnetOne contamos con respuesta a incidentes 24/7, caza de amenazas y endurecimiento de navegadores/endpoint para cortar estas cadenas de ataque.

Comunicación C&C (Fuente: CYBLE)

Conclusión

Maranhão Stealer demuestra que los infostealers han dado un salto: Node.js, empaquetados sigilosos, inyección reflectiva en navegadores y campañas de ingeniería social muy convincentes. El navegador es hoy tu perímetro real. Si lo blindas —y cortas la fuente de infección (descargas dudosas)— reduces drásticamente el riesgo.

¿Quieres que revisemos tus políticas de navegador, EDR y Zero Trust? En TecnetOne te ayudamos a pasar de reactivo a proactivo, con controles prácticos que frenan el robo de credenciales y sesiones.