Các nhà nghiên cứu bảo mật đã xác định một chiến dịch tích cực mới của Stealit malware, lợi dụng tính năng thử nghiệm của Node.js để lây nhiễm vào các hệ thống Windows. Sự gia tăng của mối đe dọa mạng này cho thấy sự phát triển trong kỹ thuật phân phối mã độc.

Theo báo cáo từ FortiGuard Labs, các tác nhân đe dọa đang tận dụng chức năng Single Executable Application (SEA) của Node.js để đóng gói và phân phối payload độc hại. Chiến thuật cập nhật này đánh dấu một sự thay đổi so với các phiên bản Stealit trước đây dựa vào framework Electron.

Phương thức phân phối và tính linh hoạt của Stealit malware

Stealit malware đang được phân phối qua các nền tảng chia sẻ tệp như Mediafire và Discord. Mã độc này ngụy trang dưới dạng trình cài đặt cho các trò chơi phổ biến và phần mềm VPN.

Việc phát hiện được thực hiện sau khi các nhà phân tích bảo mật nhận thấy sự gia tăng trong số lượng phát hiện một script Visual Basic. Script này được mã độc sử dụng để thiết lập duy trì quyền truy cập trên các máy bị xâm nhập.

Việc sử dụng SEA cho phép mã độc chạy như một tệp nhị phân độc lập. Điều này không yêu cầu một môi trường Node.js runtime được cài đặt sẵn, làm cho nó trở thành một phương pháp phân phối linh hoạt cho những kẻ tấn công.

Để tìm hiểu thêm về kỹ thuật này, bạn có thể tham khảo phân tích chi tiết từ Fortinet tại Fortinet Blog.

Stealit: Mô hình Malware-as-a-Service (MaaS) chuyên nghiệp

Những kẻ vận hành đằng sau Stealit malware đang điều hành một doanh nghiệp Malware-as-a-Service (MaaS) tinh vi. Chúng quảng bá sản phẩm của mình trên một trang web công khai.

Trang web này, gần đây đã di chuyển giữa các tên miền để tránh bị gỡ bỏ, quảng cáo Stealit malware như một “giải pháp trích xuất dữ liệu chuyên nghiệp” và cung cấp nhiều gói đăng ký khác nhau.

Các gói đăng ký và khả năng của mã độc

Với khoảng $500, khách hàng có thể mua giấy phép trọn đời cho phiên bản Windows. Biến thể Android được định giá khoảng $2,000.

Trang web chi tiết các khả năng rộng lớn của Stealit malware, bao gồm các chức năng Remote Access Trojan (RAT) điển hình:

• Truy cập tệp từ xa.
• Chiếm quyền điều khiển webcam.
• Theo dõi màn hình trực tiếp.
• Một mô-đun để triển khai mã độc tống tiền (ransomware).

Dịch vụ này cũng được quảng bá thông qua một kênh Telegram công khai. Tại đây, các nhà điều hành đăng tải các bản cập nhật và tương tác với các khách hàng tiềm năng. Điều này cho thấy tính chất chuyên nghiệp và thương mại của hoạt động tội phạm mạng này.

Các tính năng chính được quảng cáo bởi nhà phát triển Stealit:

• (Dựa vào nội dung gốc, các tính năng đã được liệt kê ở trên trong phần RAT. Để tránh trùng lặp, không tạo danh sách riêng nếu không có thêm thông tin cụ thể)

Cơ chế chống phân tích và lẩn tránh phát hiện

Phiên bản mới nhất của Stealit malware được thiết kế với nhiều lớp xáo trộn và tính năng chống phân tích. Các tính năng này nhằm mục đích ngăn chặn sự phát hiện và cản trở việc nghiên cứu.

Cuộc tấn công bắt đầu khi người dùng chạy trình cài đặt ban đầu. Điều này kích hoạt một quy trình đa tầng, nơi các script bị xáo trộn nặng được giải mã và thực thi trong bộ nhớ.

Trước khi triển khai các payload chính, mã độc thực hiện một loạt kiểm tra nghiêm ngặt. Mục đích là để xác định xem nó có đang chạy trong một máy ảo hoặc môi trường phân tích bảo mật hay không.

Nó kiểm tra bộ nhớ hệ thống, số lượng lõi CPU, tên máy chủ, các tiến trình đang chạy và khóa registry để tìm bất kỳ dấu hiệu nào của công cụ sandbox hoặc gỡ lỗi.

Nếu bất kỳ dấu hiệu nào như vậy được phát hiện, mã độc sẽ ngay lập tức chấm dứt thực thi và hiển thị một thông báo lỗi giả mạo. Cơ chế phòng thủ mạnh mẽ này giúp Stealit malware duy trì trạng thái không bị phát hiện trên hệ thống của nạn nhân trước khi tiến hành cài đặt.

Các kỹ thuật chống phân tích được Stealit sử dụng:

• Kiểm tra bộ nhớ hệ thống.
• Kiểm tra số lượng lõi CPU.
• Phân tích tên máy chủ.
• Kiểm tra các tiến trình đang chạy.
• Kiểm tra các khóa registry liên quan đến công cụ bảo mật hoặc môi trường ảo hóa.

Chiến thuật đánh cắp dữ liệu và khả năng thích ứng của Stealit

Sau khi vượt qua các kiểm tra bảo mật, Stealit malware tải xuống một số thành phần từ máy chủ command-and-control (C2) của nó. Mục đích là để thực hiện nhiệm vụ chính của mình là rò rỉ dữ liệu.

Để tránh bị phát hiện bởi các sản phẩm bảo mật điểm cuối, mã độc thêm các thư mục cài đặt của nó vào danh sách loại trừ của Windows Defender.

Các mô-đun trích xuất dữ liệu

Một trong những thành phần chính của nó, save_data.exe, sử dụng một công cụ mã nguồn mở có tên ChromElevator. Công cụ này dùng để trích xuất thông tin nhạy cảm, chẳng hạn như thông tin đăng nhập đã lưu và cookie, từ các trình duyệt dựa trên Chromium.

Một mô-đun khác, stats_db.exe, được thiết kế để đánh cắp dữ liệu từ một loạt các ứng dụng. Bao gồm các ứng dụng nhắn tin như Telegram và WhatsApp, các nền tảng trò chơi như Steam và Epic Games, và nhiều ví tiền điện tử khác nhau.

Chứng tỏ sự linh hoạt của mình, các tác nhân đe dọa đã được quan sát thấy quay trở lại với framework Electron chỉ trong vài tuần. Lần này, chúng thêm mã hóa AES-256-GCM vào các script của mình. Điều này cho thấy đây là một mối đe dọa mạng đang phát triển nhanh chóng và dai dẳng từ Stealit malware.