Des chercheurs en cybersécurité ont divulgué les détails d’une campagne de malware active appelée Voler qui a exploité la fonctionnalité d’application exécutable unique (SEA) de Node.js pour distribuer ses charges utiles.
Selon Fortinet FortiGuard Labs, certaines itérations ont également utilisé le framework open source Electron pour diffuser le malware. Il a été estimé que le malware se propage via des installateurs contrefaits de jeux et d’applications VPN téléchargés sur des sites de partage de fichiers tels que Mediafire et Discord.
SEA est une fonctionnalité qui permet aux applications Node.js d’être empaquetées et distribuées en tant qu’exécutable autonome, même sur des systèmes sur lesquels Node.js n’est pas installé.
“Les deux approches sont efficaces pour distribuer des logiciels malveillants basés sur Node.js, car elles permettent leur exécution sans nécessiter un runtime Node.js préinstallé ni des dépendances supplémentaires”, ont déclaré les chercheurs en sécurité Eduardo Altares et Joie Salvio dans un rapport partagé avec The Hacker News.
Sur un site Web dédié, les acteurs de la menace derrière Stealit prétendent proposer des « solutions professionnelles d’extraction de données » via plusieurs formules d’abonnement. Cela inclut un cheval de Troie d’accès à distance (RAT) qui prend en charge l’extraction de fichiers, le contrôle par webcam, la surveillance d’écran en direct et le déploiement de ransomwares ciblant les systèmes d’exploitation Android et Windows.
Les prix de Windows Stealer vont de 29,99 $ pour un abonnement hebdomadaire à 499,99 $ pour une licence à vie. Le prix d’Android RAT, en revanche, va de 99,99 $ à 1 999,99 $.
Les faux exécutables contiennent un programme d’installation conçu pour récupérer les principaux composants du malware récupérés à partir d’un système de commande et de contrôle (C2) et les installer, mais notez cela avant d’effectuer un certain nombre de vérifications anti-analyse pour vous assurer qu’il s’exécute dans un environnement virtuel ou en bac à sable.
Un aspect crucial de cette étape consiste à écrire une clé d’authentification codée en Base64, une clé alphanumérique de 12 caractères, dans le fichier %temp%\cache.json. Cette clé est utilisée pour s’authentifier auprès du serveur C2, ainsi que par les abonnés pour se connecter au tableau de bord afin de probablement surveiller et contrôler leurs victimes.
Le malware est également conçu pour configurer les exclusions de Microsoft Defender Antivirus afin que le dossier contenant les composants téléchargés ne soit pas signalé. Les fonctions des trois exécutables sont les suivantes –
- save_data.exequi n’est téléchargé et exécuté que si le logiciel malveillant s’exécute avec des privilèges élevés. Il est conçu pour supprimer un outil nommé « cache.exe » – qui fait partie du projet open source ChromElevator – pour extraire des informations des navigateurs basés sur Chromium.
- stats_db.execonçu pour extraire des informations des messageries (Telegram, WhatsApp), des portefeuilles de crypto-monnaie et des extensions de navigateur de portefeuille (Atomic et Exodus) et des applications liées aux jeux (Steam, Minecraft, GrowTopia et Epic Games Launcher).
- game_cache.exequi est conçu pour configurer la persistance sur l’hôte en le lançant au redémarrage du système en créant un script Visual Basic et en communiquant avec le serveur C2 pour diffuser l’écran d’une victime en temps réel, exécuter des commandes arbitraires, télécharger/télécharger des fichiers et modifier le fond d’écran du bureau.
“Cette nouvelle campagne Stealit exploite la fonctionnalité expérimentale d’application unique exécutable (SEA) de Node.js, qui est encore en développement actif, pour distribuer facilement des scripts malveillants aux systèmes sur lesquels Node.js n’est pas installé”, a déclaré Fortinet. “Les auteurs de la menace derrière cela pourraient exploiter la nouveauté de cette fonctionnalité, en s’appuyant sur l’élément de surprise et en espérant surprendre les applications de sécurité et les analystes de logiciels malveillants.”
