Selon FortiGuard Labs (Fortinet), une nouvelle campagne de malware Stealit exploite la fonctionnalité Node.js Single Executable Application (SEA) pour empaqueter et diffuser des charges utiles sous forme de binaires autonomes, dans le but d’échapper à la détection.
La menace est distribuée via de faux installateurs de jeux et de VPN sur des plateformes de partage de fichiers 🎮. Stealit opère comme un RAT commercial (malware-as-a-service) proposé par abonnement, offrant des capacités de vol de données, accès à distance, contrôle de la webcam et déploiement de ransomware 🐀. La campagne cible les systèmes Windows et maintient la persistance via des scripts Visual Basic.
Sur le plan technique, la campagne utilise Node.js SEA pour regrouper des scripts en binaires autonomes (sans dépendances à l’exécution). L’installation comporte plusieurs couches fortement obfusquées, avec un installeur initial stocké en tant que ressource NODE_SEA_BLOB. Le malware réalise des contrôles anti-VM, télécharge des composants depuis ses C2 (notamment save_data.exe, stats_db.exe, game_cache.exe), établit la persistance via startup.vbs, ajoute des exclusions à Windows Defender, et applique la compression Brotli pour les modules récupérés.
Pour le vol d’informations, Stealit extrait des données depuis 40+ navigateurs et applications, en s’appuyant sur ChromElevator pour les navigateurs Chromium. La communication avec le C2 iloveanimals[.]shop se fait via HTTP POST avec authentification JSON 📨.
Les variantes plus récentes ont migré vers le framework Electron et chiffrent leurs communications/composants avec AES-256-GCM 🔒.
IOCs observés:
- Domaine C2:
iloveanimals[.]shop - Fichiers/artefacts:
save_data.exe,stats_db.exe,game_cache.exe,startup.vbs, ressourceNODE_SEA_BLOB
TTPs clés:
- Distribution via faux installateurs (jeux, VPN) sur sites de partage de fichiers
- Obfuscation lourde et anti-analyse/anti-VM
- Node.js SEA pour binaires autonomes; variantes ultérieures sous Electron
- Persistance par VBScript (
startup.vbs) et exclusions dans Windows Defender - Exfiltration depuis 40+ apps/navigateurs via ChromElevator (Chromium)
- Téléchargement modulaire compressé en Brotli; HTTP POST + JSON vers C2
- Chiffrement AES-256-GCM dans les variantes récentes
Type d’article: analyse de menace. But principal: documenter la campagne Stealit, ses techniques, son infrastructure C2 et les indicateurs associés.
🧠 TTPs et IOCs détectés
TTPs
[‘Distribution via faux installateurs (jeux, VPN) sur sites de partage de fichiers’, ‘Obfuscation lourde et anti-analyse/anti-VM’, ‘Utilisation de Node.js SEA pour créer des binaires autonomes’, ‘Persistance par VBScript (startup.vbs) et exclusions dans Windows Defender’, ‘Exfiltration de données depuis 40+ applications/navigateurs via ChromElevator’, ‘Téléchargement modulaire compressé en Brotli’, ‘Communication avec C2 via HTTP POST avec authentification JSON’, ‘Chiffrement AES-256-GCM dans les variantes récentes’]
IOCs
[‘Domaine C2: iloveanimals[.]shop’, ‘Fichiers/artefacts: save_data.exe, stats_db.exe, game_cache.exe, startup.vbs, ressource NODE_SEA_BLOB’]
🔗 Source originale : https://www.fortinet.com/blog/threat-research/stealit-campaign-abuses-nodejs-single-executable-application