Cybersecurity-onderzoekers hebben details bekendgemaakt van een actieve malwarecampagne genaamd Stealit dat de Single Executable Application (SEA)-functie van Node.js heeft gebruikt als een manier om zijn payloads te distribueren.
Volgens Fortinet FortiGuard Labs hebben geselecteerde iteraties ook het open-source Electron-framework gebruikt om de malware af te leveren. Er wordt vastgesteld dat de malware wordt verspreid via valse installatieprogramma’s voor games en VPN-applicaties die worden geüpload naar sites voor het delen van bestanden, zoals Mediafire en Discord.
SEA is een functie waarmee Node.js-applicaties kunnen worden verpakt en gedistribueerd als een zelfstandig uitvoerbaar bestand, zelfs op systemen waarop Node.js niet is geïnstalleerd.
“Beide benaderingen zijn effectief voor het verspreiden van op Node.js gebaseerde malware, omdat ze uitvoering mogelijk maken zonder dat een vooraf geïnstalleerde Node.js-runtime of extra afhankelijkheden nodig zijn”, zeggen beveiligingsonderzoekers Eduardo Altares en Joie Salvio in een rapport gedeeld met The Hacker News.
Op een speciale website beweren de bedreigingsactoren achter Stealit “professionele oplossingen voor gegevensextractie” aan te bieden via verschillende abonnementen. Dit omvat een trojan voor externe toegang (RAT) die bestandsextractie, webcambediening, live schermmonitoring en ransomware-implementatie ondersteunt, gericht op zowel Android- als Windows-besturingssystemen.
Prijzen voor Windows Stealer variëren van $ 29,99 voor een wekelijks abonnement tot $ 499,99 voor een levenslange licentie. De Android RAT-prijzen gaan daarentegen van $ 99,99 tot $ 1.999,99.
De nep-uitvoerbare bestanden bevatten een installatieprogramma dat is ontworpen om de belangrijkste componenten van de malware op te halen uit een command-and-control (C2) en deze te installeren. Houd er echter rekening mee dat voordat u een aantal anti-analysecontroles uitvoert, u ervan verzekerd bent dat de malware in een virtuele of sandbox-omgeving draait.
Een cruciaal aspect van deze stap is het schrijven van een met Base64 gecodeerde authenticatiesleutel, een alfanumerieke sleutel van 12 tekens, naar het bestand %temp%cache.json. Deze sleutel wordt gebruikt om zich te authenticeren bij de C2-server, maar ook om abonnees in te loggen op het dashboard om hun slachtoffers waarschijnlijk te monitoren en te controleren.
De malware is ook ontworpen om Microsoft Defender Antivirus-uitsluitingen te configureren, zodat de map met de gedownloade componenten niet wordt gemarkeerd. De functies van de drie uitvoerbare bestanden zijn als volgt:
- save_data.exedat alleen wordt gedownload en uitgevoerd als de malware met verhoogde rechten wordt uitgevoerd. Het is ontworpen om een tool genaamd “cache.exe” te droppen – die deel uitmaakt van het open-sourceproject ChromElevator – om informatie uit Chromium-gebaseerde browsers te extraheren.
- stats_db.exedat is ontworpen om informatie te extraheren uit messengers (Telegram, WhatsApp), cryptocurrency-wallets en portemonnee-browserextensies (Atomic en Exodus) en game-gerelateerde apps (Steam, Minecraft, GrowTopia en Epic Games Launcher).
- game_cache.exedat is ontworpen om persistentie op de host in te stellen door het te starten bij het opnieuw opstarten van het systeem door een Visual Basic-script te maken en te communiceren met de C2-server om het scherm van een slachtoffer in realtime te streamen, willekeurige opdrachten uit te voeren, bestanden te downloaden/uploaden en de bureaubladachtergrond te wijzigen.
“Deze nieuwe Stealit-campagne maakt gebruik van de experimentele Node.js Single Executable Application (SEA)-functie, die nog steeds in actieve ontwikkeling is, om kwaadaardige scripts gemakkelijk te verspreiden naar systemen waarop Node.js niet is geïnstalleerd”, aldus Fortinet. “De dreigingsactoren die hierachter zitten, maken mogelijk misbruik van de nieuwigheid van de functie, vertrouwend op het verrassingselement en hopen beveiligingsapplicaties en malware-analisten te overrompelen.”
