Malware 'Stealit' usa recurso executável único do Node.js para se espalhar em instaladores falsos de jogos e VPN

Pesquisadores trouxeram à luz os detalhes de uma campanha de malware em atividade, denominada Stealit, que está explorando uma funcionalidade recente do Node.js – o recurso Single Executable Application (SEA) – como principal vetor para a distribuição de suas cargas maliciosas.

De acordo com o Fortinet FortiGuard Labs, o malware está sendo propagado de forma clandestina através de instaladores falsificados de jogos populares e aplicativos de VPN. Esses arquivos fraudulentos são carregados e compartilhados em plataformas populares, como Mediafire e Discord. O SEA, recurso experimental do Node.js, permite que aplicações sejam empacotadas e distribuídas como um único arquivo executável autônomo, eliminando a necessidade de o sistema da vítima ter o ambiente Node.js previamente instalado.

"Ambas as abordagens [SEA e a estrutura Electron] são eficazes para distribuir malware baseado em Node.js, pois permitem a execução sem exigir um tempo de execução Node.js pré-instalado ou dependências adicionais," explicaram os pesquisadores de segurança Eduardo Altares e Joie Salvio em um relatório. Essa característica é crucial para os hackers, pois simplifica a infecção e aumenta a taxa de sucesso.

Os hackers por trás do Stealit operam um website dedicado, onde oferecem "soluções profissionais de extração de dados" por meio de diversos planos de assinatura. O kit de ferramentas inclui um Trojan de Acesso Remoto (RAT) robusto, que suporta roubo de arquivos, controle de webcam, monitoramento de tela em tempo real e a implantação de ransomware direcionado aos sistemas operacionais Android e Windows.

Os preços para adquirir o Stealit variam amplamente: o stealer para Windows custa de US$ 29,99 (assinatura semanal) a US$ 499,99 (licença vitalícia). Já o RAT para Android é mais caro, variando de US$ 99,99 a US$ 1.999,99.

Os executáveis falsos funcionam como um instalador, projetado para realizar uma série de verificações anti-análise e, em seguida, recuperar os componentes essenciais do malware de um servidor de Comando e Controle (C2). Uma etapa crucial da instalação envolve a gravação de uma chave de autenticação codificada no arquivo %temp%\cache.json.

Essa chave de 12 caracteres é usada tanto para a comunicação com o servidor C2 quanto para que os assinantes do serviço Stealit possam monitorar e controlar suas vítimas através de um painel online.

O malware também foi codificado para configurar exclusões no Microsoft Defender Antivirus, impedindo que a pasta contendo seus componentes baixados seja sinalizada como maliciosa. Os principais componentes do Stealit são três executáveis distintos:

• save_data.exe: Executado apenas com privilégios elevados, utiliza uma ferramenta chamada cache.exe (baseada no projeto ChromElevator) para extrair informações confidenciais de navegadores baseados em Chromium.

• stats_db.exe: Focado na extração de dados de messengers (Telegram, WhatsApp), carteiras de criptomoedas, extensões de carteira de navegador (Atomic e Exodus) e aplicativos de jogos (Steam, Minecraft, Epic Games Launcher).

• game_cache.exe: Responsável por estabelecer a persistência no sistema após a reinicialização, comunicar-se com o servidor C2 para transmitir a tela da vítima em tempo real, executar comandos arbitrários, transferir arquivos e até mesmo alterar o wallpaper da área de trabalho.

A Fortinet concluiu que a escolha do recurso SEA do Node.js – ainda em desenvolvimento – pelos hackers provavelmente visa explorar a novidade da funcionalidade. Isso cria um elemento surpresa, na esperança de "pegar aplicativos de segurança e analistas de malware desprevenidos".

Via - THN