Investigadores de ciberseguridad han revelado detalles de una campaña activa de malware llamada Stealit que aprovecha la función de aplicación ejecutable única (SEA) de Node.js como una forma de distribuir su carga útil.
Según Fortinet FortiGuard Labs, algunas iteraciones también emplean el marco Electron de código abierto para la entrega de malware. Se considera que el malware se propaga a través de instaladores falsos de juegos y aplicaciones VPN cargados en sitios para compartir archivos como Mediafire y Discord.
SEA es una característica que le permite empaquetar y distribuir aplicaciones Node.js como ejecutables independientes, incluso en sistemas que no tienen Node.js instalado.
«Ambos enfoques son efectivos para distribuir malware basado en Node.js porque pueden ejecutarse sin requerir un tiempo de ejecución de Node.js preinstalado o dependencias adicionales», dijeron los investigadores de seguridad Eduardo Altares y Joie Salvio en un informe compartido con The Hacker News.
En su sitio web específico, los atacantes detrás de Stealit afirman ofrecer «soluciones profesionales de extracción de datos» a través de varios planes de suscripción. Esto incluye troyanos de acceso remoto (RAT) que admiten la extracción de archivos, el control de la cámara web, el monitoreo de pantalla en vivo y la implementación de ransomware dirigido a los sistemas operativos Android y Windows.
Los precios de Windows Stealer oscilan entre $ 29,99 por una suscripción semanal y $ 499,99 por una licencia perpetua. Mientras tanto, los precios de Android RAT oscilan entre $ 99,99 y $ 1.999,99.
Tenga en cuenta que el ejecutable falso contiene un instalador diseñado para recuperar e instalar los componentes principales del malware obtenidos del comando y control (C2), pero antes de hacerlo realiza una serie de comprobaciones antianálisis para garantizar que se esté ejecutando en un entorno virtual o de espacio aislado.
Una parte importante de este paso implica escribir una clave de autenticación codificada en Base64 (una clave alfanumérica de 12 caracteres) en el archivo %temp%\cache.json. Esta clave se utiliza para autenticarse con el servidor C2 e iniciar sesión en el panel para que los suscriptores monitoreen y controlen a sus víctimas.
El malware también está diseñado para configurar exclusiones en Microsoft Defender Antivirus para que las carpetas que contienen componentes descargados no estén marcadas. Las funciones de los tres ejecutables son:
save_data.exe. El malware sólo se descargará y ejecutará si se ejecuta con privilegios elevados. Está diseñado para extraer información de navegadores basados en Chromium soltando una herramienta llamada «cache.exe» que forma parte del proyecto de código abierto ChromElevator. stats_db.exe está diseñado para extraer información de mensajeros (Telegram, WhatsApp), billeteras de criptomonedas y extensiones de navegador de billeteras (Atomic y Exodus) y aplicaciones relacionadas con juegos (Steam, Minecraft, GrowTopia y Epic Games Launcher). game_cache.exe está diseñado para establecer la persistencia en el host mediante la creación de un script de Visual Basic para iniciar el host al reiniciar el sistema, comunicarse con el servidor C2 para transmitir la pantalla de la víctima en tiempo real, ejecutar comandos arbitrarios, descargar/cargar archivos y cambiar el fondo de pantalla del escritorio.
«Esta nueva campaña Stealit aprovecha la función experimental de aplicación ejecutable única (SEA) de Node.js, que aún está en desarrollo activo, para distribuir fácilmente scripts maliciosos a sistemas que no tienen Node.js instalado», dijo Fortinet. «Los atacantes detrás de esto pueden estar buscando explotar la novedad de esta característica y confiar en el elemento sorpresa, tomando desprevenidos a las aplicaciones de seguridad y a los analistas de malware».
Source link
