Pesquisadores da Fortinet FortiGuard Labs trouxeram à tona detalhes de uma campanha ativa de malware batizada de Stealit, que se aproveita do recurso Single Executable Application (SEA) do Node.js para distribuir cargas maliciosas disfarçadas de instaladores de jogos e aplicativos VPN. Os arquivos fraudulentos são hospedados e compartilhados em plataformas populares, como Mediafire e Discord, facilitando a propagação entre usuários.
O SEA, ainda em estágio experimental no Node.js, permite empacotar aplicações como um único executável autônomo, eliminando a necessidade de o ambiente Node.js estar instalado na máquina da vítima — característica que os operadores do Stealit exploram para aumentar as taxas de infecção. A Fortinet observa que tanto o SEA quanto estruturas como Electron tornam possível distribuir malware baseado em Node.js sem depender de runtimes pré-instalados, simplificando a cadeia de ataque.
Operadores do Stealit mantêm um website comercial onde vendem “soluções profissionais de extração de dados” em planos por assinatura. O kit inclui um stealer e um Trojan de Acesso Remoto (RAT) com capacidades de roubo de arquivos, controle de webcam, monitoramento de tela em tempo real e implantação de ransomware direcionado a Windows e Android. Os preços variam de US$ 29,99 (assinatura semanal do stealer) até US$ 499,99 (licença vitalícia), enquanto o RAT Android chega a custar até US$ 1.999,99.
Os executáveis fraudulentos atuam como instaladores que realizam rotinas anti-análise antes de recuperar componentes maliciosos de um servidor de Comando e Controle (C2). Durante a instalação, uma chave de autenticação de 12 caracteres é gravada em %temp%\cache.json — essa chave identifica a vítima ao C2 e permite que assinantes do serviço monitorem e controlem os alvos via painel online.
Para dificultar a detecção, o malware tenta configurar exclusões no Microsoft Defender Antivirus, evitando que a pasta dos componentes baixados seja sinalizada. A Fortinet identificou três executáveis principais na estrutura do Stealit: save_data.exe, que exige privilégios elevados e extrai credenciais e dados de navegadores Chromium via cache.exe (baseado no projeto ChromElevator); stats_db.exe, dedicado à extração de dados de mensageiros (Telegram, WhatsApp), carteiras de criptomoedas e extensões (Atomic, Exodus), além de dados de plataformas de games; e game_cache.exe, usado para estabelecer persistência, transmitir a tela em tempo real, executar comandos remotos, transferir arquivos e até alterar o wallpaper da vítima.
A Fortinet conclui que a escolha pelo SEA — uma funcionalidade recente e ainda em desenvolvimento — oferece um efeito surpresa aos atacantes, potencialmente pegando ferramentas de segurança e analistas desprevenidos. Diante do cenário, especialistas reforçam a necessidade de cautela com instaladores baixados de fontes não oficiais, verificações reforçadas de integridade de arquivos e políticas de privilégio mínimo para mitigar a escalada e o impacto de infecções.
