Eine neue, hochentwickelte Schadsoftware hat es auf die Gaming-Community abgesehen. Der sogenannte "Maranhão Stealer" verbreitet sich über raubkopierte Spiele und Cheat-Tools, um Passwörter und Kryptowährungen zu stehlen. Seit Mai 2025 aktiv, nutzt die Malware raffinierte Techniken, um auch moderne Browser-Sicherheitssysteme zu überwinden.

Forscher der Cyble Research and Intelligence Labs (CRIL) warnen vor einer gezielten Angriffswelle, die speziell Gamer ins Visier nimmt. Die Cyberkriminellen locken ihre Opfer mit vermeintlich kostenlosen Spielen und Gaming-Tools auf täuschend echte Websites. Was harmlos aussieht, entpuppt sich als ausgereifte Datensammel-Operation.

Perfide Köder für die Gaming-Szene

Die Angreifer setzen auf bewährte Social-Engineering-Taktiken und kennen ihre Zielgruppe genau. Mit verlockenden Dateinamen wie "Fnafdoomlauncher.exe", "Silent Client.exe" oder "DerelictSetup.zip" täuschen sie Downloads beliebter Gaming-Utilities vor.

Besonders durchdacht: Die Schadsoftware versteckt sich in professionell wirkenden Inno-Setup-Installern, die völlig unauffällig ablaufen. Nach der Installation nistet sich der Stealer unter dem harmlos klingenden Namen "Microsoft Updater" im System ein – eine Tarnung, die selbst misstrauische Nutzer überzeugen könnte.

Technische Raffinesse trifft auf rohe Gewalt

Was den Maranhão Stealer von gewöhnlicher Malware unterscheidet, ist seine technische Akribie. Das Schadprogramm führt zunächst eine umfassende Systemanalyse durch: Hardware, Betriebssystem, Netzwerkkonfiguration und sogar der geografische Standort werden erfasst.

Das Herzstück bildet eine "reflektive DLL-Injektion" – eine Technik, die selbst Chromes AppBound-Verschlüsselung aushebelt. Dabei schleust die Malware ihren Code direkt in laufende Browser-Prozesse ein, ohne Spuren im Dateisystem zu hinterlassen. Gespeicherte Passwörter, Cookies und komplette Browser-Verläufe landen so ungefiltert bei den Angreifern.

Kryptowährungen im Fadenkreuz

Neben klassischen Login-Daten haben es die Cyberkriminellen vor allem auf digitale Währungen abgesehen. Der Stealer durchsucht gezielt nach Wallet-Daten populärer Anbieter wie Electrum, Exodus und Coinomi. Diese Doppelstrategie macht jeden erfolgreichen Angriff besonders lukrativ.

Die gestohlenen Informationen wandern an Server unter der Domain "maranhaogang[.]fun" – ein Name, der durchaus programmatisch zu verstehen ist. "Erfolgreiche Infektionen können zu weitreichenden Kontoübernahmen, Diebstahl digitaler Assets und der Verbreitung weiterer Malware führen", warnen die Cyble-Forscher.

Moderne Malware-Entwicklung

Bemerkenswert ist der Einsatz von Node.js als Programmiersprache – ein Zeichen dafür, dass auch Cyberkriminelle auf moderne Entwicklungsmethoden setzen. Die modular aufgebaute Architektur deutet darauf hin, dass die Malware-Autoren weitere Funktionen nachliefern könnten.

Sicherheitsfirmen wie Broadcom haben ihre Schutzsysteme bereits angepasst. Der Stealer wird nun unter verschiedenen Signaturen erkannt, darunter "Infostealer" und "Backdoor.Trojan". Doch die aktive Weiterentwicklung der Malware lässt weitere Evolutionsstufen erwarten.

Schutz vor der unsichtbaren Bedrohung

Gaming-Enthusiasten sollten besonders vorsichtig sein: Raubkopien, Cheat-Engines und gecracktes Software bergen immer ein hohes Risiko. Sicherheitsexperten raten dringend dazu, nur offizielle Quellen zu nutzen und Antivirus-Software niemals zu deaktivieren – auch nicht für vermeintlich harmlose Game-Mods.

Zusätzlicher Schutz durch Zwei-Faktor-Authentifizierung kann im Ernstfall den Schaden begrenzen. Wer technisch versiert ist, sollte verdächtige Registry-Änderungen im Blick behalten und die Ausführung nicht autorisierter Programme einschränken.