Stealit Malware lợi dụng tính năng thực thi đơn lẻ Node.js qua trò chơi và VPN

[Starlink]

Các nhà nghiên cứu an ninh mạng đã tiết lộ thông tin chi tiết về một chiến dịch phần mềm độc hại đang hoạt động có tên Stealit, lợi dụng tính năng Single Executable Application (SEA) của Node.js để phân phối phần mềm độc hại.

Theo Fortinet FortiGuard Labs, một số phiên bản được chọn cũng đã sử dụng nền tảng Electron mã nguồn mở để phát tán phần mềm độc hại. Họ đánh giá rằng phần mềm độc hại này đang được phát tán thông qua các trình cài đặt giả mạo cho trò chơi và ứng dụng VPN được tải lên các trang web chia sẻ tệp như Mediafire và Discord.

SEA là tính năng cho phép đóng gói và phân phối các ứng dụng Node.js dưới dạng tệp thực thi độc lập, ngay cả trên các hệ thống không cài đặt Node.js.

"Cả hai cách tiếp cận đều hiệu quả trong việc phát tán phần mềm độc hại dựa trên Node.js vì chúng cho phép thực thi mà không cần cài đặt sẵn Node.js runtime hoặc các phụ thuộc bổ sung", các nhà nghiên cứu bảo mật Eduardo Altares và Joie Salvio cho biết trong báo cáo chia sẻ với The Hacker News.

Trên một trang web chuyên dụng, nhóm tin tặc đứng sau Stealit tuyên bố cung cấp "các giải pháp trích xuất dữ liệu chuyên nghiệp" thông qua nhiều gói đăng ký. Các gói này bao gồm một trojan truy cập từ xa (RAT) hỗ trợ trích xuất tệp, điều khiển webcam, giám sát màn hình trực tiếp và triển khai ransomware nhắm mục tiêu vào cả hệ điều hành Android và Windows.

Giá của Windows Stealer dao động từ 29,99 đô la cho gói đăng ký hàng tuần đến 499,99 đô la cho gói bản quyền trọn đời. Trong khi đó, giá của Android RAT dao động từ 99,99 đô la đến tận 1.999,99 đô la.

Các tệp thực thi giả mạo chứa trình cài đặt được thiết kế để truy xuất các thành phần chính của phần mềm độc hại được truy xuất từ lệnh và điều khiển (C2) và cài đặt chúng, nhưng lưu ý rằng trước khi thực hiện một số kiểm tra chống phân tích để đảm bảo rằng nó đang chạy bên trong môi trường ảo hoặc môi trường hộp cát.

Một khía cạnh quan trọng của bước này liên quan đến việc ghi khóa xác thực được mã hóa Base64, một khóa chữ số gồm 12 ký tự, vào tệp %temp%\cache.json. Khóa này được sử dụng để xác thực với máy chủ C2, cũng như để người đăng ký đăng nhập vào bảng điều khiển nhằm mục đích giám sát và kiểm soát nạn nhân.

Phần mềm độc hại này cũng được thiết kế để cấu hình các tùy chọn loại trừ của Microsoft Defender Antivirus sao cho thư mục chứa các thành phần đã tải xuống không bị đánh dấu. Chức năng của ba tệp thực thi như sau:

    save_data.exe, chỉ được tải xuống và thực thi nếu phần mềm độc hại đang chạy với đặc quyền cao. Nó được thiết kế để cài đặt một công cụ có tên "cache.exe" – một phần của dự án mã nguồn mở ChromElevator – nhằm trích xuất thông tin từ các trình duyệt dựa trên Chromium.
    stats_db.exe, được thiết kế để trích xuất thông tin từ các ứng dụng nhắn tin (Telegram, WhatsApp), ví tiền điện tử và tiện ích mở rộng trình duyệt ví (Atomic và Exodus) và các ứng dụng liên quan đến trò chơi (Steam, Minecraft, GrowTopia và Epic Games Launcher).
    game_cache.exe được thiết kế để thiết lập tính bền bỉ trên máy chủ bằng cách khởi chạy khi hệ thống khởi động lại bằng cách tạo một tập lệnh Visual Basic và giao tiếp với máy chủ C2 để truyền phát màn hình của nạn nhân theo thời gian thực, thực thi các lệnh tùy ý, tải xuống/tải lên các tệp và thay đổi hình nền máy tính.

"Chiến dịch Stealit mới này tận dụng tính năng Ứng dụng Thực thi Đơn (SEA) của Node.js đang trong quá trình thử nghiệm, hiện vẫn đang được phát triển, để dễ dàng phân phối các tập lệnh độc hại đến các hệ thống chưa cài đặt Node.js", Fortinet cho biết. "Những kẻ đứng sau vụ việc này có thể đang lợi dụng tính năng mới lạ này, dựa vào yếu tố bất ngờ và hy vọng sẽ khiến các ứng dụng bảo mật và các nhà phân tích phần mềm độc hại bất ngờ."