Stealit косплеит Node.js — теперь через фейковые игры и VPN

Лови новость с подпольного репозитория: появились свежие разборки от кампании под брендом Stealit, и её авторы решили не мудрить с замысловатыми криптохудожествами — они просто юзают новую фичу Node.js, называемую Single Executable Application (SEA), чтобы пихать вредилово в систему как будто бы это обычный .exe-шник. Короче, упаковал код в один файл — нажал, запустил — и привет, у тебя в системе шелл на вырост.

Фантомы по распространению — старые добрые фейковые инсталляторы игр и VPN, которые загружают на файлообменники, вроде Mediafire, и шлют в Discord-сервисы. Люди качают “новую сборку любимой игрушки” или “бесплатный VPN” — а получают в комплекте с .exe сюрприз в виде инсталлятора, который сначала проверяет среду (вроде бы, не попал ли он в песочницу или виртуалку), а потом достаёт основное меню своих тёмных умений с C2-сервера.

Авторы Stealit даже делают вид, что это магазин: у них есть сайт с прайсами — “подписки” на крадущие тулзы. Хочешь воровать файлы на винде — плати от $29.99 за недельный пропуск до $499.99 за пожизненный абонемент; хочешь андроидный RAT — от $99.99 до $1,999.99. Бизнес-модель 2.0: RaaS плюс подписка, и никто не удивлён.

Техника работы — простой и жутко практичный набор:
• фейковый исполняемый файл кладёт инсталлятор, который в свою очередь докачивает и ставит основной мусор с C2, но сначала сохраняет в %temp%\cache.json 12-символьный Base64-ключ — типа пропуск в панель управления, с помощью которого и клиент, и хозяева идентифицируются;
• пытаются прописать исключения в Microsoft Defender, чтобы папка с докачанными компонентами не светилась в антивирусе;
• в арсенале — три исполняемых штуки с разделёнными ролями: одна падает только при повышенных правах и тащит инструменты для вытряхивания браузерных сейвов паролей; другая копает по мессенджерам, криптокошелькам и игровым клиентам; третья — для персистенции и стриминга экрана, управления и передачи файлов.

Вишенка на торте — в некоторых сборках используется Electron, а в других — тот самый Node SEA, который ещё свеж и сыроват, поэтому его новизна делает распространение особо удобным: запускается везде, даже там, где Node не установлен. Исследователи отмечают — злоумышленники ловко используют эффект неожиданности; пока антивирусы и аналитики привыкают к новому способу упаковки, вредоносные сборки пролетают мимо.

Если кратко и по-хакерски: Stealit — это магазинный стелс-лоутер, упакованный под удобный .exe-латекс, продающийся через ломанные зеркала интернета. Это не какой-то экзотический APT с миллионом ступеней — это коммерческий гаджет для тех, кто хочет быстро срубить данные с пользователей: пароли, кошельки, чаты, да ещё и медиа с вебки в придачу. И да — он умеет пытаться прятаться от антивируса и оставаться персистентным, чтоб возвращаться как плохая привычка.

Короче не качай кряки/сборки/“бесплатные” VPN с непроверенных сайтов, не запускай шитпоинты с паблика и внимательнее относись к правам, которые просит инсталлятор. Мораль для защитника: мониторьте необычные вызовы к C2, следите за созданием исключений в Defender и обращайте внимание на нестандартные однофайловые сборки — новизна SEA даёт злоумышленникам окно для манёвра, пока экосистема привыкает.

Берегите себя и свои компы.