Zscaler ThreatLabz publie une analyse technique d’« Marco Stealer », observé pour la première fois en juin 2025. Le malware cible prioritairement les données de navigateurs, les portefeuilles de cryptomonnaies et des fichiers sensibles, en chiffrant les exfiltrations et en employant de multiples mécanismes d’évasion.

• Chaîne d’attaque et anti-analyse 🧪

  • Un téléchargeur (downloader) déchiffre des chaînes (AES-128 ECB) pour générer et exécuter une commande PowerShell téléchargeant l’exécutable de Marco Stealer depuis une URL externe vers %TEMP%.
  • Mutex statique: Global\ItsMeRavenOnYourMachineed ; PDB: C:\Users\marco\Desktop\Builder\Builder\Client\Client\x64\Release\Client.pdb.
  • Chaînes chiffrées par un algorithme ARX (proche de ChaCha20), déchiffrées à l’exécution.
  • Détection/arrêt d’outils d’analyse (ex. x64dbg, Wireshark, Process Hacker, OllyDbg, et une longue liste en annexe) via inspection des métadonnées de version des exécutables.
  • Vérification de connectivité (google.com) sinon auto-suppression; récupération IP et pays via ipinfo.io.

• Collecte et périmètre visé 🕵️‍♂️

  • Profilage système: GUID machine (HWID), OS, CPU/GPU, RAM, AV/WMI/COM, logiciels installés, processus en cours, nom d’hôte, timezone, etc.
  • Données utilisateur: presse-papiers, captures d’écran (seule exfiltration observée en clair), recherche récursive de fichiers sensibles dans des dossiers locaux et cloud (OneDrive, Dropbox, Google Drive, etc.) avec motifs ciblés (ex. mots-clés autour de mots de passe, wallets, documents financiers, backups…).

• Vol de données navigateurs et wallets 🔐

  • Dépose deux ressources: chromeDecryptor.dll et needMe.exe dans %AppData%\local\temp (chemin pseudo-aléatoire via Mersenne Twister).
  • Méthode 1 (Chromium Appbound): création d’une instance headless d’un navigateur Chromium, injection de chromeDecryptor.dll, récupération/déchiffrement de la clé Chrome depuis “Local State” et écriture dans chrome_appbound_key.txt, puis accès aux bases SQLite.
  • Méthode 2 (named pipe): création d’un tube nommé \.\pipe\FirefoxBrowserExtractor (PIPE_ACCESS_DUPLEX, 8192 octets) pour ingestion de données via needMe.exe (ciblant notamment Basilisk, CLIQZ, Firefox, SlimBrowser, Pale Moon), lecture des SQLite de profils.
  • Extensions crypto: balayage des répertoires de profils Chromium (C:\Users\\AppData\Local\\User Data) pour extraire et exfiltrer les données d’extensions de portefeuilles.

• Command-and-Control et chiffrement 📡

  • Exfiltration chiffrée en AES‑256 CBC (clé dérivée via CryptDeriveKey d’un SHA‑256 d’une valeur codée en dur; clé effective statique), envoi via HTTP POST (User-Agent: “DataSender”).
  • Le corps inclut: Client ID, Hardware ID, IP, puis les données volées; captures d’écran observées en clair.

• Couverture Zscaler

  • Détections sandbox et nomenclatures: Win64.Downloader.Marco, Win64.PWS.Marco. Le billet comprend IOCs et mappage MITRE ATT&CK.

• IOCs (extraits) 🧩

  • Downloading URL:
    • http[:/]/217[.]156[.]50[.]228[:]8185/LoqnOOuuIsTIYfkrdsfL/eUelHAyY.exe (format obfusqué dans l’extrait)
  • C2 servers:
    • http[://]107[.]189[.]25[.]189[:]49259/receive
    • http[://]45[.]74[.]19[.]20[:]49259/receive
  • Fichiers/hashes (catégories telles que données):
    • ZIP: 34deb6594098545d7ffb98844f0790bf; 3a3e8f6bc70748a39ffc047b3c86a665; 5eb91d1ad26c7eced894e34710aaa28e
    • Downloader: 1042affb0ca6758ca0043112cdc7eda2; a98fa5fba55e470750ae74186c15fa73; 33dd8a5e234d911391cc8c301dc4a606
    • Marco Stealer: 49ab8d4c55b7f64eaba699ef0dc9054b; 661a5465d9a322276ebc414f39891a8b; 028604d6aa556de2ae4ca6b31e600677

• TTPs (MITRE ATT&CK) 🎯

  • T1047 Windows Management Instrumentation (Exécution/Évasion/Découverte)
  • T1016 System Network Configuration Discovery
  • T1071 Application Layer Protocol (C2)
  • T1059 Command and Scripting Interpreter (PowerShell, etc.)
  • T1057 Process Discovery
  • T1105 Ingress Tool Transfer
  • T1082 System Information Discovery
  • T1573 Encrypted Channel
  • T1518.001 Security Software Discovery

Type d’article: analyse technique de recherche visant à documenter les capacités, l’arsenal et les IOCs/TTPs de Marco Stealer.

🧠 TTPs et IOCs détectés

TTP

[‘T1047 Windows Management Instrumentation (Exécution/Évasion/Découverte)’, ‘T1016 System Network Configuration Discovery’, ‘T1071 Application Layer Protocol (C2)’, ‘T1059 Command and Scripting Interpreter (PowerShell, etc.)’, ‘T1057 Process Discovery’, ‘T1105 Ingress Tool Transfer’, ‘T1082 System Information Discovery’, ‘T1573 Encrypted Channel’, ‘T1518.001 Security Software Discovery’]

IOC

{‘downloading_url’: [‘http://217.156.50.228:8185/LoqnOOuuIsTIYfkrdsfL/eUelHAyY.exe’], ‘c2_servers’: [‘http://107.189.25.189:49259/receive’, ‘http://45.74.19.20:49259/receive’], ‘hashes’: {‘zip’: [‘34deb6594098545d7ffb98844f0790bf’, ‘3a3e8f6bc70748a39ffc047b3c86a665’, ‘5eb91d1ad26c7eced894e34710aaa28e’], ‘downloader’: [‘1042affb0ca6758ca0043112cdc7eda2’, ‘a98fa5fba55e470750ae74186c15fa73’, ‘33dd8a5e234d911391cc8c301dc4a606’], ‘marco_stealer’: [‘49ab8d4c55b7f64eaba699ef0dc9054b’, ‘661a5465d9a322276ebc414f39891a8b’, ‘028604d6aa556de2ae4ca6b31e600677’]}}

🔗 Source originale : https://www.zscaler.com/blogs/security-research/technical-analysis-marco-stealer