Il malware Stealit rappresenta una nuova e insidiosa minaccia nel panorama della sicurezza informatica, sfruttando la funzione Single Executable Application (SEA) di Node.js per distribuire i suoi payload in modo furtivo. I ricercatori di Fortinet FortiGuard Labs hanno scoperto che questa campagna malevola utilizza anche il framework open-source Electron per veicolare il malware. La strategia di diffusione di Stealit si basa su installer falsi di giochi e applicazioni VPN, caricati su piattaforme di file sharing molto conosciute come Mediafire e Discord, attirando così utenti ignari che desiderano scaricare software apparentemente legittimo.

La funzione SEA di Node.js consente di impacchettare e distribuire applicazioni come eseguibili autonomi, anche su sistemi che non dispongono di Node.js preinstallato. Questo rende particolarmente efficace la distribuzione di malware basati su Node.js, eliminando la necessità di dipendenze aggiuntive e aumentando il rischio di infezione per un ampio numero di utenti. I cybercriminali che gestiscono Stealit promuovono i loro servizi su un sito dedicato, offrendo soluzioni di “estrazione dati professionale” con diversi piani di abbonamento.

Funzionalità e prezzi

• Trojan di accesso remoto (RAT)
• Estrazione file
• Controllo della webcam
• Monitoraggio dello schermo in tempo reale
• Distribuzione ransomware su Android e Windows

I prezzi per il malware sono variabili e accessibili: la versione per Windows parte da 29,99 dollari per una settimana, mentre la versione Android può arrivare fino a 1999,99 dollari per la licenza a vita. Gli eseguibili contraffatti contengono un installer progettato per scaricare le componenti principali del malware dal server di comando e controllo (C2) e installarle sul dispositivo della vittima, dopo aver effettuato controlli anti-analisi per evitare ambienti virtuali o sandbox.

Meccanismi di autenticazione e persistenza

Un aspetto chiave del funzionamento di Stealit è la scrittura di una chiave di autenticazione codificata in Base64 nel file %temp%cache.json. Questa chiave serve sia per autenticarsi verso il server C2 sia per consentire agli abbonati di accedere a un dashboard per gestire le vittime. Il malware configura inoltre esclusioni su Microsoft Defender Antivirus per evitare che la cartella contenente i componenti venga rilevata.

Componenti principali

• save_data.exe: estrae dati da browser Chromium se il malware ha privilegi elevati.
• stats_db.exe: ruba informazioni da messenger, wallet di criptovalute e applicazioni di gaming.
• game_cache.exe: garantisce la persistenza e consente il controllo remoto del sistema.

Stealit sfrutta la novità e la scarsa familiarità degli strumenti SEA di Node.js per eludere le difese e sorprendere persino gli analisti di sicurezza.