Pesquisadores da Fortinet identificaram uma nova campanha do malware StealIT, que está explorando o recurso Single Executable Application (SEA) do Node.js para distribuir suas cargas maliciosas em computadores Windows. O ataque se disfarça de instaladores falsos de jogos e aplicativos de VPN disponíveis em sites de compartilhamento como MediaFire e Discord.
O SEA é uma funcionalidade legítima do Node.js que permite empacotar aplicativos em um único executável, mesmo em sistemas que não possuem o ambiente instalado. Os criminosos exploram essa característica para executar códigos maliciosos sem dependências adicionais, dificultando a detecção por antivírus e analistas de segurança. O StealIT é comercializado em fóruns clandestinos como uma “plataforma profissional de extração de dados”, com planos que variam de US$ 29 a US$ 499 para Windows e até US$ 1.999 para Android.
O pacote oferece recursos típicos de um Remote Access Trojan (RAT), incluindo roubo de arquivos, captura de tela, controle de webcam e execução de ransomware. Durante a infecção, o malware verifica se está em um ambiente de análise, grava uma chave de autenticação Base64 no diretório temporário e se comunica com o servidor de comando (C2) para baixar seus módulos principais. Em seguida, ele configura o Microsoft Defender para ignorar a pasta onde se instala, garantindo persistência. Três componentes principais executam funções específicas: save_data.exe coleta dados de navegadores baseados em Chromium, stats_db.exe rouba informações de aplicativos de mensagens, carteiras de criptomoedas e jogos, e game_cache.exe garante persistência e comunicação contínua com o servidor, incluindo transmissão em tempo real da tela da vítima. Os pesquisadores destacam que o uso do recurso SEA do Node.js é uma tática inédita e engenhosa. Por ainda estar em desenvolvimento, o recurso pode enganar soluções de segurança que não o reconhecem como vetor malicioso, dando vantagem aos atacantes.
