11.10.2025
1 хв
559
Фахівці Fortinet FortiGuard Labs виявили активну кампанію Stealit, у якій хакери використовують функцію Single Executable Application (SEA) у Node.js для поширення шкідливого ПЗ. Вірус маскується під інсталятори ігор і VPN на сайтах Mediafire та Discord і викрадає дані з месенджерів, криптогаманців і браузерів. Дослідники повідомляють, що зловмисники поширюють Stealit через підроблені програми, що запускаються навіть без установленого Node.js. Деякі версії також побудовані на фреймворку Electron, що дозволяє ховати шкідливий код у вигляді “законних” додатків.
Коли користувач запускає інсталятор, він підключається до серверів керування (C2), перевіряє середовище на ознаки віртуальних машин, і якщо все “чисто”, завантажує основні компоненти Stealit. Перед цим програма створює Base64-ключ автентифікації в тимчасовому файлі cache.json — він використовується для зв’язку з C2-сервером та панеллю керування хакерів.
Stealit також вимикає Microsoft Defender, додаючи власну директорію до виключень. Потім три допоміжні виконувані файли виконують різні функції:
save_data.exe — краде дані браузерів на основі Chromium через інструмент ChromElevator;
stats_db.exe — збирає дані месенджерів (Telegram, WhatsApp), криптогаманців (Atomic, Exodus) і ігрових клієнтів (Steam, Minecraft, Epic Games);
game_cache.exe — забезпечує автозапуск і дозволяє зловмисникам дивитися екран жертви в реальному часі, виконувати команди та передавати файли.
За даними Fortinet, Stealit використовує нову, експериментальну функцію Node.js SEA, щоб непомітно запускати шкідливі скрипти на системах без Node.js, чим обходить багато антивірусних рішень.
Stealit діє за моделлю “ПЗ як сервіс”: на своєму сайті хакери продають “підписку” на доступ до панелі керування, що підтримує Windows і Android. Вартість варіюється від $29,99 на тиждень до $1 999,99 довічно. Продукт включає RAT (віддалений троян), що дозволяє знімати екран, керувати камерою, викрадати файли та розгортати ransomware. Експерти вважають, що кіберзлочинці експлуатують новизну функції SEA та намагаються скористатися тим, що більшість систем безпеки ще не адаптовані до її моніторингу. Це робить Stealit особливо небезпечним для користувачів, які завантажують неліцензійне ПЗ або файли з відкритих платформ.
Stealit показує, як розробницькі інструменти можуть стати зброєю у руках кіберзлочинців. Зловмисники використовують можливості Node.js і Electron, щоб маскувати трояни під легальні програми, а SEA — для обходу захисту. Новий тренд — це не просто крадіжка даних, а створення комерційних malware-сервісів, доступних будь-кому, хто готовий заплатити.
