Marco stealer
A Marco Stealer egy 2025 júniusában felfedezett info stealer, amely Windows rendszereket céloz meg azzal, hogy érzékeny böngésző- és kriptotárca-adatokat, valamint lokális és felhőben tárolt fájlokat gyűjt össze és exfiltrál. A Zscaler elemzése szerint a kód a runtime-ban titkosított karakterláncokkal és anti-analízis technikákkal próbálja elkerülni a statikus vizsgálatot, és Windows API-kon keresztül biztonsági eszközöket is leállít vagy észlelésük elől elbújik. A nyomozók szerint a malware a named pipe-okat, DLL-injektálást és több eltérő módszert használ a végrehajtásához és adatkinyeréshez.
A fertőzési lánc általában egy PowerShell-alapú letöltőn keresztül kezdődik, amely egy távoli URL-ről hozza le a Marco Stealer futtatható állományát egy ideiglenes könyvtárba, majd elindítja azt. A komponens ellenőrzi az internetkapcsolatot, majd rendszer- és hálózati információkat gyűjt, például a gép GUID-ját, IP-címét és földrajzi helyét. Ezeket az információkat, valamint a további adatokat egy AES-256-tal titkosított HTTP-POST kérésben továbbítja a C2 (parancs-és-vezérlő) szerver felé.
A böngészők adatainak kinyerése két fő módon történik, egy chromeDecryptor.dll modul segítségével, amely a Chrome böngésző titkosított kulcsát próbálja feloldani és ebből adatokat olvasni, illetve egy needMe.exe komponens által a named pipe-okon keresztüli kommunikációval más Chromium- és Gecko-alapú böngészők adatbázisához fér hozzá. A malware képes továbbá kriptotárca-adatokat, felhasználói vágólaptartalmat, képernyőképeket és egy sor fájltípust is begyűjteni, majd ugyanazzal az AES-titkosítással továbbítani az irányító szerverre.
