Investigadores de ciberseguridad han revelado detalles de una campaña activa de malware llamada robar que ha aprovechado la función de aplicación ejecutable única (SEA) de Node.js como una forma de distribuir sus cargas útiles.
Según Fortinet FortiGuard Labs, iteraciones seleccionadas también han empleado el marco de código abierto Electron para entregar el malware. Se evalúa que el malware se propaga a través de instaladores falsos de juegos y aplicaciones VPN que se cargan en sitios para compartir archivos como Mediafire y Discord.
EL MAR es un característica que permite empaquetar y distribuir aplicaciones Node.js como un ejecutable independiente, incluso en sistemas sin Node.js instalado.
«Ambos enfoques son eficaces para distribuir malware basado en Node.js, ya que permiten la ejecución sin necesidad de un tiempo de ejecución de Node.js preinstalado ni dependencias adicionales», afirman los investigadores de seguridad Eduardo Altares y Joie Salvio. dicho en un informe compartido con The Hacker News.
En un sitio web específico, los actores de amenazas detrás de Stealit afirman ofrecer «soluciones profesionales de extracción de datos» a través de varios planes de suscripción. Esto incluye un troyano de acceso remoto (RAT) que admite la extracción de archivos, el control de la cámara web, el monitoreo de pantalla en vivo y la implementación de ransomware dirigido a los sistemas operativos Android y Windows.
Los precios de Windows Stealer oscilan entre $ 29,99 por una suscripción semanal y $ 499,99 por una licencia de por vida. El precio de Android RAT, por otro lado, va desde $ 99,99 hasta $ 1999,99.
Los ejecutables falsos contienen un instalador que está diseñado para recuperar los componentes principales del malware recuperados de un comando y control (C2) e instalarlos, pero tenga en cuenta que antes de realizar una serie de comprobaciones antianálisis para garantizar que se esté ejecutando dentro de un entorno virtual o de espacio aislado.
Un aspecto crucial de este paso implica escribir una clave de autenticación codificada en Base64, una clave alfanumérica de 12 caracteres, en el archivo %temp%\cache.json. Esta clave se utiliza para autenticarse con el servidor C2, así como para que los suscriptores inicien sesión en el panel de control con el fin de monitorear y controlar a sus víctimas.
El malware también está diseñado para configurar las exclusiones de Microsoft Defender Antivirus para que la carpeta que contiene los componentes descargados no esté marcada. Las funciones de los tres ejecutables son las siguientes:
- guardar_datos.exeque sólo se descarga y ejecuta si el malware se ejecuta con privilegios elevados. Está diseñado para eliminar una herramienta llamada «cache.exe», que forma parte de un proyecto de código abierto. CromoElevador – para extraer información de navegadores basados en Chromium.
- stats_db.exeque está diseñado para extraer información de mensajeros (Telegram, WhatsApp), billeteras de criptomonedas y extensiones de navegador de billeteras (Atomic y Exodus) y aplicaciones relacionadas con juegos (Steam, Minecraft, GrowTopia y Epic Games Launcher).
- juego_cache.exeque está diseñado para configurar la persistencia en el host iniciándolo al reiniciar el sistema creando un script de Visual Basic y comunicándose con el servidor C2 para transmitir la pantalla de la víctima en tiempo real, ejecutar comandos arbitrarios, descargar/cargar archivos y cambiar el fondo de pantalla del escritorio.
«Esta nueva campaña Stealit aprovecha la característica experimental de Aplicación Ejecutable Única (SEA) de Node.js, que aún está en desarrollo activo, para distribuir convenientemente scripts maliciosos a sistemas sin Node.js instalado», dijo Fortinet. «Los actores de amenazas detrás de esto pueden estar explotando la novedad de la característica, confiando en el elemento sorpresa y esperando tomar desprevenidos a las aplicaciones de seguridad y a los analistas de malware».
Fuente