Investigadores de ciberseguridad han revelado detalles de una campaña activa de malware convocatoria robar que ha estudioso la función de aplicación ejecutable única (SEA) de Node.js como una forma de distribuir sus cargas avíos.
Según Fortinet FortiGuard Labs, iteraciones seleccionadas todavía han empleado el entorno de código franco Electron para entregar el malware. Se evalúa que el malware se propaga a través de instaladores falsos de juegos y aplicaciones VPN que se cargan en sitios para compartir archivos como Mediafire y Discord.
SEA es una característica que permite empaquetar y distribuir aplicaciones Node.js como un ejecutable independiente, incluso en sistemas sin Node.js instalado.
“Uno y otro enfoques son efectivos para distribuir malware basado en Node.js, ya que permiten la ejecución sin requerir un tiempo de ejecución de Node.js preinstalado o dependencias adicionales”, dijeron los investigadores de seguridad Eduardo Altares y Joie Salvio en un mensaje compartido con The Hacker News.
En un sitio web específico, los actores de amenazas detrás de Stealit afirman ofrecer “soluciones profesionales de procedencia de datos” a través de varios planes de suscripción. Esto incluye un troyano de ataque remoto (RAT) que admite la procedencia de archivos, el control de la cámara web, el monitoreo de pantalla en vivo y la implementación de ransomware dirigido a los sistemas operativos Android y Windows.
Los precios de Windows Stealer oscilan entre $ 29,99 por una suscripción semanal y $ 499,99 por una deshonestidad de por vida. El precio de Android RAT, por otro flanco, va desde $ 99,99 hasta $ 1999,99.
Los ejecutables falsos contienen un instalador que está diseñado para recuperar los componentes principales del malware recuperados de un comando y control (C2) e instalarlos, pero tenga en cuenta que antiguamente de realizar una serie de comprobaciones antianálisis para respaldar que se esté ejecutando adentro de un entorno supuesto o de espacio incidental.
Un aspecto crucial de este paso implica escribir una esencia de autenticación codificada en Base64, una esencia alfanumérica de 12 caracteres, en el archivo %temp%cache.json. Esta esencia se utiliza para autenticarse con el servidor C2, así como para que los suscriptores inicien sesión en el panel de control con el fin de monitorear y controlar a sus víctimas.
El malware todavía está diseñado para configurar las exclusiones de Microsoft Defender Antivirus para que la carpeta que contiene los componentes descargados no esté marcada. Las funciones de los tres ejecutables son las siguientes:
- guardar_datos.exeque sólo se descarga y ejecuta si el malware se ejecuta con privilegios elevados. Está diseñado para colocar una aparejo convocatoria “cache.exe”, que forma parte del esquema de código franco ChromElevator, para extraer información de los navegadores basados en Chromium.
- stats_db.exeque está diseñado para extraer información de mensajeros (Telegram, WhatsApp), billeteras de criptomonedas y extensiones de navegador de billeteras (Atomic y Exodus) y aplicaciones relacionadas con juegos (Steam, Minecraft, GrowTopia y Epic Games Launcher).
- juego_cache.exeque está diseñado para configurar la persistencia en el host iniciándolo al reiniciar el sistema creando un script de Visual Basic y comunicándose con el servidor C2 para transmitir la pantalla de la víctima en tiempo auténtico, ejecutar comandos arbitrarios, descargar/cargar archivos y cambiar el fondo de pantalla del escritorio.
“Esta nueva campaña Stealit aprovecha la característica práctico de Aplicación Ejecutable Única (SEA) de Node.js, que aún está en exposición activo, para distribuir convenientemente scripts maliciosos a sistemas sin Node.js instalado”, dijo Fortinet. “Los actores de amenazas detrás de esto pueden estar explotando la novedad de la característica, confiando en el aspecto sorpresa y esperando tomar desprevenidos a las aplicaciones de seguridad y a los analistas de malware”.
