Stealit: nueva campaña que usa Node.js SEA y Electron para distribuir stealers

Investigadores de Fortinet FortiGuard Labs han documentado una campaña activa de malware denominada Stealit que está aprovechando la función experimental Single Executable Application (SEA) de Node.js —y en variantes seleccionadas, el framework Electron— para encapsular y distribuir cargas útiles maliciosas. El uso de ejecutables "todo en uno" permite a los atacantes ejecutar código JavaScript malicioso en máquinas que no tienen Node.js instalado, lo que facilita la distribución y complica la detección tradicional.

Vectores de distribución y alcance

Los actores detrás de Stealit propagan el malware mediante instaladores falsos que imitan juegos populares y aplicaciones VPN. Estos instaladores suelen alojarse en sitios de intercambio de archivos y plataformas de comunicación (por ejemplo, Mediafire y Discord), donde los usuarios son inducidos a descargar y ejecutar el archivo creyendo que es legítimo. Esta estrategia de ingeniería social —"te doy un juego/una VPN gratis"— sigue siendo altamente efectiva cuando los usuarios no verifican la procedencia del instalador.

Capacidades y modelo comercial (MaaS)

Stealit opera como un malware-as-a-service (MaaS): en un portal público los operadores ofrecen planes de suscripción para diferentes funcionalidades, incluyendo un troyano de acceso remoto (RAT) capaz de extraer archivos, controlar la cámara, transmitir la pantalla en vivo y desplegar ransomware dirigido a Android y Windows. Los precios citados en los portales asociados al actor varían ampliamente (suscripciones semanales hasta licencias de por vida), lo que confirma la intención de monetizar el servicio y facilitar su acceso a clientes criminales.

Técnicas técnicas destacadas

Los instaladores falsos contienen un dropper/instalador que realiza comprobaciones anti-análisis (detectar si corre en entornos virtuales/aislados) antes de recuperar los componentes principales desde servidores de comando y control (C2). Parte del flujo consiste en generar una clave de autenticación codificada en Base64 —una cadena alfanumérica de 12 caracteres— y escribirla en %temp%\cache.json. Esa clave sirve para autenticarse con el C2 y también para permitir el acceso al panel de control del servicio MaaS. Además, Stealit intenta modificar exclusiones del Microsoft Defender para evitar que las carpetas con los componentes descargados sean analizadas.

Ejecutables y funciones observadas

FortiGuard y análisis secundarios identificaron tres binarios con roles concretos:

• save_data.exe: se descarga y ejecuta solo con privilegios elevados; diseñado para eliminar y reemplazar herramientas y para extraer datos de navegadores Chromium (empaquetando utilidades externas como ChromElevator).
• stats_db.exe: enfocado en exfiltrar datos de mensajería (Telegram, WhatsApp), billeteras de criptomonedas y extensiones de wallet (p. ej. Atomic, Exodus), además de datos relacionados con plataformas de juegos (Steam, Minecraft, Epic Games).
• game_cache.exe: implementa persistencia (crea scripts VBScript para reinicio), transmite pantalla en tiempo real, ejecuta comandos arbitrarios, y permite carga/descarga de archivos y cambios en el fondo de escritorio.
• Estas funciones muestran un diseño modular orientado tanto al robo de credenciales/activos digitales como al control remoto continuo de los hosts comprometidos.

Riesgo operativo y motivación del atacante

El aprovechamiento de funcionalidades nuevas o experimentales (como SEA) ofrece al atacante ventajas tácticas: sorpresa, novedad técnica y mayor probabilidad de evadir firmas estáticas de AV. Al empaquetar JavaScript en ejecutables independientes y, en algunas variantes, usar Electron, los operadores aumentan la portabilidad y reducen la dependencia de entornos específicos, lo que incrementa el radio de ataque. Fortinet advierte que los operadores buscan precisamente ese elemento de novedad para "pillar con la guardia baja" a herramientas y analistas.

Recomendaciones prácticas (acciones inmediatas)

• No ejecutar instaladores de fuentes no verificadas: evitar archivos EXE descargados desde links de Discord, foros o repositorios públicos sin verificación. (aplicable de inmediato).
• Hardenizar endpoints: aplicar políticas que bloqueen la ejecución de binarios desde %temp% o ubicaciones de usuarios, y restringir permisos de instalación a cuentas con MFA y control centralizado.
• Monitoreo y detección: desplegar reglas EDR/IDS para detectar creación de %temp%\cache.json, conexiones salientes a dominios C2 no autorizados y procesos que manipulen exclusiones de Windows Defender.
• Actualizaciones y firmas: mantener soluciones EPP/EDR actualizadas y revisar firmas y heurísticas que cubran empaquetadores Node.js/Electron. FortiGuard ya ofrece indicadores y firmas que deben integrarse en los controles.
• Conciencia y formación: campañas de phishing simulation para educar a usuarios sobre enlaces y archivos sospechosos, poniendo énfasis en la suplantación de instaladores de juegos y VPN.

En fin...

La campaña Stealit confirma una tendencia preocupante: los operadores de malware evolucionan rápidamente, incorporando nuevas capacidades de empaquetado (Node.js SEA, Electron) y modelos MaaS para escalar sus operaciones. Detectar y mitigar esta amenaza exige una combinación de políticas de control de ejecución, monitoreo proactivo, actualización de firmas y formación continua de usuarios. Mantenerse informado con fuentes de inteligencia (por ejemplo, FortiGuard Labs y análisis técnicos independientes) y aplicar contramedidas concretas reducirá la ventana de exposición frente a campañas como Stealit.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login