详细内容或原文请订阅后点击阅览
Stealit 恶意软件通过 Mediafire 和 Discord 上的虚假游戏和 VPN 安装程序传播
Stealit 恶意软件滥用 Node.js SEA 和 Electron,通过 Mediafire 和 Discord 上共享的虚假游戏和 VPN 安装程序进行传播。 Fortinet FortiGuard 实验室研究人员发现 Stealit 恶意软件活动滥用 Node.js 单一可执行应用程序 (SEA),有时还滥用 Electron,通过 Mediafire 和 Discord 上的虚假游戏和 VPN 安装程序进行传播。 Fortinet 在调查时发现了该活动 [...]
来源:Security Affairs _恶意软件Stealit 恶意软件通过 Mediafire 和 Discord 上的虚假游戏和 VPN 安装程序传播
Stealit 恶意软件滥用 Node.js SEA 和 Electron,通过 Mediafire 和 Discord 上共享的虚假游戏和 VPN 安装程序进行传播。
Fortinet FortiGuard 实验室研究人员发现 Stealit 恶意软件活动滥用 Node.js 单一可执行应用程序 (SEA),有时还滥用 Electron,通过 Mediafire 和 Discord 上的虚假游戏和 VPN 安装程序进行传播。
Fortinet 在调查特定 Visual Basic 脚本的检测激增时发现了该活动,专家后来将其识别为恶意软件持久性的组件。
攻击者使用 Node.js SEA 将恶意软件捆绑到独立的二进制文件中,无需安装 Node.js 即可执行。
Stealit 恶意软件已将其命令和控制面板从stealituptaded[.]lol 转移到iloveanimals[.]shop,现在伪装成一个商业网站,宣传“专业数据提取解决方案”。该网站列出了适用于 Android 和 Windows 的文件盗窃、网络摄像头控制、实时监控和勒索软件交付等功能,并配有演示视频和订阅计划。
该网站以订阅形式出售窃取程序,Windows 的终身许可证费用约为 500 美元,Android 的费用约为 2,000 美元。
恶意软件运营商使用名为 StealitPublic 的 Telegram 频道向潜在客户分享更新和促销信息。管理 Telegram 频道的联系人是一位名为 @deceptacle 的用户。
StealitPublic,Stealit 的安装程序是一个多层、高度混淆的 Node.js SEA 可执行文件(使用 AngaBlue 构建),可解码并运行多个内存中脚本层。恶意软件执行反分析检查(VM/timing/process/registry/DLL/parent-process)并记录执行情况;如果以高权限运行,它会写入日志并将 12 个字符的身份验证密钥保存到 %temp%\cache.json 以进行 C2 身份验证。
%temp%\cache.json
报告
恶意软件将其有效负载与 Pkg 捆绑在一起,并通过添加startup.vbs 脚本使它们持续存在。关键组件是:
启动.vbs
save_data.exe
stats_db.exe