Pesquisadores em cibersegurança revelaram detalhes de uma campanha ativa de malware chamada Stealit, que explora o recurso Single Executable Application (SEA) do Node.js para distribuir suas cargas maliciosas.
Segundo o Fortinet FortiGuard Labs, algumas variantes do malware também utilizam o framework open-source Electron como meio de distribuição.
A propagação ocorre principalmente por meio de instaladores falsos de jogos e aplicativos de VPN, disponibilizados em sites de compartilhamento de arquivos como Mediafire e Discord.
O recurso SEA permite que aplicações Node.js sejam empacotadas e distribuídas como executáveis independentes, funcionando mesmo em sistemas que não possuem o Node.js instalado.
“As duas abordagens são eficientes para distribuir malware baseado em Node.js, já que permitem a execução sem a necessidade de runtime pré-instalado ou dependências adicionais”, explicam os pesquisadores Eduardo Altares e Joie Salvio, em relatório compartilhado com o The Hacker News.
Os operadores do Stealit mantêm um site dedicado, onde anunciam “soluções profissionais de extração de dados” na forma de planos de assinatura.
Entre as ferramentas oferecidas está um trojan de acesso remoto (RAT) que possibilita extração de arquivos, controle da webcam, monitoramento da tela em tempo real e implantação de ransomware, com suporte para sistemas Android e Windows.
Os preços para a versão Windows do Stealer variam de US$ 29,99 para assinatura semanal até US$ 499,99 para licença vitalícia.
Já o RAT para Android custa entre US$ 99,99 e impressionantes US$ 1.999,99.
Os executáveis falsos incluem um instalador projetado para baixar os componentes principais do malware de um servidor de comando e controle (C2) e instalá-los, realizando diversas verificações anti-análise para confirmar que não está sendo executado em ambientes virtuais ou sandbox.
Um ponto crucial desse processo é a gravação de uma chave de autenticação codificada em Base64 no arquivo %temp%\cache.json.
Essa chave alfanumérica de 12 caracteres é usada tanto para autenticação junto ao servidor C2 quanto pelos assinantes para acessar o painel de controle e monitorar as vítimas.
Além disso, o malware configura exclusões no Microsoft Defender Antivirus para evitar a detecção da pasta que contém os componentes baixados.
As três principais funções dos executáveis são:
- save_data.exe: baixado e executado apenas se o malware rodar com privilégios elevados.
Ele instala a ferramenta “cache.exe”, baseada no projeto open-source ChromElevator, para extrair dados de navegadores baseados em Chromium.
- stats_db.exe: projetado para roubar informações de mensageiros como Telegram e WhatsApp, carteiras de criptomoedas (Atomic e Exodus) e aplicativos relacionados a jogos (Steam, Minecraft, Growtopia, Epic Games Launcher).
- game_cache.exe: responsável por garantir persistência no sistema, ativando o malware na reinicialização por meio de script em Visual Basic.
Também se comunica com o servidor C2 para transmitir a tela da vítima em tempo real, executar comandos arbitrários, transferir arquivos e alterar o papel de parede.
De acordo com o Fortinet, “essa nova campanha Stealit explora um recurso experimental do Node.js (SEA) que ainda está em desenvolvimento, permitindo a distribuição prática de scripts maliciosos em sistemas sem o Node.js instalado.
Os criminosos parecem tirar proveito da novidade da funcionalidade, apostando no fator surpresa para dificultar a detecção por ferramentas de segurança e análise de malware.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...