Stealit 恶意软件通过游戏和 VPN 安装程序滥用 Node.js 的单一可执行功能

网络安全研究人员披露了名为Stealit的活跃恶意软件活动的详细信息，该活动利用 Node.js 的单可执行应用程序 (SEA) 功能来分发其有效负载。

据 Fortinet FortiGuard 实验室称，部分版本还使用了开源 Electron 框架来传播恶意软件。据评估，该恶意软件通过上传到 Mediafire 和 Discord 等文件共享网站的伪造游戏和 VPN 应用程序安装程序进行传播。

SEA 是一项功能，它允许将 Node.js 应用程序打包并分发为独立的可执行文件，即使在未安装 Node.js 的系统上也是如此。

安全研究人员 Eduardo Altares 和 Joie Salvio 在与 The Hacker News 分享的一份报告中表示： “这两种方法对于分发基于 Node.js 的恶意软件都非常有效，因为它们允许在不需要预先安装 Node.js 运行时或其他依赖项的情况下执行。 ”

Stealit 背后的威胁行为者在一个专门的网站上声称，他们通过多种订阅计划提供“专业的数据提取解决方案”。其中包括一个远程访问木马 (RAT)，该木马支持文件提取、网络摄像头控制、实时屏幕监控以及针对 Android 和 Windows 操作系统的勒索软件部署。

DFIR 保留服务
Windows Stealer 的价格从每周订阅的 29.99 美元到终身许可的 499.99 美元不等。而 Android RAT 的价格则从 99.99 美元一直到 1,999.99 美元不等。

伪造的可执行文件包含一个安装程序，旨在检索从命令和控制（C2）检索到的恶意软件的主要组件并安装它们，但请注意，在执行一些反分析检查之前，请确保它在虚拟或沙盒环境中运行。

此步骤的关键在于将一个Base64编码的身份验证密钥（一个由12个字符组成的字母数字密钥）写入%temp%\cache.json文件。此密钥用于向C2服务器进行身份验证，以及供订阅者登录仪表板，以便监控和控制受害者。


该恶意软件还被设计为配置 Microsoft Defender 防病毒排除项，以便包含下载组件的文件夹不会被标记。这三个可执行文件的功能如下：

save_data.exe，该程序仅在恶意软件以提升权限运行时才会下载并执行。其设计目的是植入一个名为“cache.exe”的工具（该工具是开源项目ChromElevator的一部分），用于从基于 Chromium 的浏览器中提取信息。
stats_db.exe，旨在从信使（Telegram、WhatsApp）、加密货币钱包和钱包浏览器扩展（Atomic 和 Exodus）以及游戏相关应用程序（Steam、Minecraft、GrowTopia 和 Epic Games Launcher）中提取信息。
game_cache.exe，旨在通过在系统重启时启动它来设置主机上的持久性，通过创建 Visual Basic 脚本并与 C2 服务器通信来实时流式传输受害者的屏幕、执行任意命令、下载/上传文件以及更改桌面壁纸。

Fortinet 表示：“这项新的 Stealit 攻击活动利用了仍在积极开发中的实验性 Node.js 单可执行应用程序 (SEA) 功能，方便地将恶意脚本分发到未安装 Node.js 的系统。幕后黑手可能正在利用该功能的新颖性，依靠出其不意的攻击手段，希望打安全应用程序和恶意软件分析师一个措手不及。”