Neue Stealit-Malware nutzt innovative Node.js-Funktionen zur Datenexfiltration

Analyse einer neuen Stealit-Malware-Kampagne: Missbrauch von Node.js-Funktionen

In der dynamischen Landschaft der Cybersicherheit haben Forscher von FortiGuard Labs eine neue Kampagne der Stealit-Malware entdeckt. Diese Kampagne nutzt eine experimentelle Funktion von Node.js, die sogenannte Single Executable Application (SEA), um ihre schädlichen Nutzdaten zu verbreiten. Dieser Ansatz stellt eine signifikante taktische Entwicklung der Malware-Betreiber dar, die ihre Methoden fortlaufend anpassen, um der Erkennung zu entgehen.

Evolution der Verbreitungsmethoden

Frühere Stealit-Kampagnen setzten auf das Electron-Framework, eine bekannte Open-Source-Plattform für die Entwicklung von Desktop-Anwendungen. Die aktuelle Variante hat stattdessen die native Node.js-Funktion SEA adaptiert. Beide Methoden erweisen sich als besonders effektiv für die Malware-Verbreitung, da sie alle erforderlichen Skripte und Ressourcen in einer einzigen, eigenständigen Binärdatei bündeln. Dies ermöglicht die Ausführung der Malware auf einem Zielsystem, ohne dass eine vorinstallierte Node.js-Laufzeitumgebung oder andere Abhängigkeiten erforderlich sind, was die potenzielle Angriffsfläche erweitert.

Verbreitung und Tarnung

Die Malware wird weiterhin über bekannte Kanäle verbreitet, oft getarnt als Installationsprogramme für beliebte Spiele oder VPN-Anwendungen. Aktuelle Proben wurden in PyInstaller-Paketen oder komprimierten Archiven gefunden, die auf File-Sharing-Websites wie Mediafire und Discord hochgeladen werden, um arglose Benutzer zum Download zu verleiten.

Kommerzielle Struktur der Bedrohung

Stealit zeichnet sich durch ein hohes Maß an kommerzieller Professionalität aus. Die Malware wird offen auf einer dedizierten Website vertrieben, die kürzlich auf neue Domains umgezogen ist, um Unterbrechungen zu vermeiden. Die Plattform bewirbt das Tool als Anbieter von "professionellen Datenextraktionslösungen" mit verschiedenen Abonnementstufen für Windows- und Android-Versionen. Die Preismodelle reichen von wöchentlichem Zugang bis zu lebenslangen Abonnements, wobei letztere etwa 500 US-Dollar für den Windows-Stealer und 2.000 US-Dollar für den Android Remote Access Trojan (RAT) kosten. Die Betreiber unterhalten zudem einen öffentlichen Telegram-Kanal, 'StealitPublic', um Updates und Werbeangebote an potenzielle Kunden zu kommunizieren.

Der Infektionsprozess: Eine mehrschichtige Strategie

Der Infektionsprozess ist mehrschichtig aufgebaut, um die Analyse zu erschweren. Er beginnt mit einer Installationskomponente, die zusätzliche Module von ihrem Command-and-Control (C2)-Server herunterlädt. Die in den ausführbaren Dateien gebündelten Node.js-Skripte sind stark verschleiert. Eine Analyse der Ressourcendaten des Installers zeigte Dateipfade, die den Verzeichnisnamen 'StealIt' und 'angablue' enthielten, was auf die Verwendung eines Open-Source-Projekts hinweist, das die Erstellung von Node.js SEA-Executables automatisiert.

Anti-Analyse-Maßnahmen und Umgehung der Erkennung

Um eine genaue Untersuchung durch Sicherheitsforscher zu verhindern, setzt die Malware eine umfassende Reihe von Anti-Analyse-Prüfungen ein, bevor sie ihre Hauptfunktionen ausführt. Sie überprüft das System auf Anzeichen einer virtuellen Umgebung, indem sie sicherstellt, dass der Systemspeicher mindestens 2 GB und mindestens zwei CPU-Kerne vorhanden sind. Zudem werden Blacklists für Hostnamen, Benutzernamen und Dateipfade abgeglichen, die mit Virtualisierungssoftware wie VMware und VirtualBox in Verbindung stehen.

Weitere Prüfungen dienen der Erkennung von Analysetools, indem alle laufenden Prozesse und geladenen DLLs aufgelistet und nach Schlüsselwörtern im Zusammenhang mit Debugging und Überwachung gesucht werden. Stellt die Stealit-Malware fest, dass sie in einer Analyseumgebung läuft, beendet sie sich und zeigt eine gefälschte Fehlermeldung "Critical System Error Detected!" an, um den Benutzer oder Forscher in die Irre zu führen.

Die Komponenten des Angriffs

Nach erfolgreichem Bestehen dieser Prüfungen lädt der Installer drei Kernkomponenten herunter, nachdem ein 12-stelliger Authentifizierungsschlüssel in eine lokale Datei geschrieben wurde. Dieser Schlüssel dient zur Authentifizierung mit dem C2-Server und ist wahrscheinlich derselbe Schlüssel, den Abonnenten für den Zugriff auf ihr Opfer-Kontroll-Dashboard verwenden. Um die Erkennung zu erschweren, fügt die Malware ihre neu erstellten Verzeichnisse mithilfe eines PowerShell-Befehls zur Ausschlussliste von Windows Defender hinzu.

Die heruntergeladenen Komponenten sind ebenfalls Node.js-Skripte, die als ausführbare Dateien verpackt sind, jedoch unter Verwendung eines anderen Open-Source-Projekts namens Pkg.

• save_data.exe: Diese Komponente wird nur ausgeführt, wenn die Stealit-Malware über hohe Berechtigungen verfügt. Sie verwendet ein Tool, das vom Open-Source-Projekt ChromElevator abgeleitet ist, welches Informationen aus Chromium-basierten Browsern extrahiert, indem es deren Sicherheitsfunktionen umgeht.
• stats_db.exe: Diese zweite Komponente ist für einen umfassenderen Informationsdiebstahl verantwortlich. Bevor sie ihre Arbeit aufnimmt, versucht sie, die Prozesse ihrer Zielanwendungen zu beenden. Anschließend extrahiert sie Daten aus zahlreichen Browsern, Messengern wie WhatsApp und Telegram sowie spielbezogenen Plattformen wie Steam und dem Epic Games Launcher. Sie zielt auch auf Kryptowährungs-Wallets ab, sowohl eigenständige Anwendungen als auch solche, die als Browser-Erweiterungen installiert sind.
• game_cache.exe: Diese dritte Komponente ist der primäre Client für die Kommunikation mit dem C2-Server. Um sicherzustellen, dass sie bei jedem Systemstart ausgeführt wird, erstellt sie ein Visual Basic-Skript im Windows-Autostartordner. Dieses Modul wartet auf Anweisungen des Bedrohungsakteurs, die eine Vielzahl invasiver Aktionen umfassen können. Laut der Feature-Liste von Stealit kann ein Angreifer eine Live-Ansicht des Bildschirms und der Webcam des Opfers streamen, das System remote verwalten, Befehle ausführen, Dateien aus kritischen Benutzerordnern abrufen, den Desktophintergrund ändern und sogar Ransomware bereitstellen.

Kontinuierliche Anpassung der Bedrohungsakteure

Die Cyberkriminalitätslandschaft befindet sich in ständigem Wandel, und diese Kampagne bildet hier keine Ausnahme. FortiGuard Labs stellte fest, dass innerhalb weniger Wochen nach der Beobachtung der SEA-basierten Variante neue Stealit-Samples bereits wieder das Electron-Framework verwendeten, diesmal mit AES-256-GCM-Verschlüsselung für ihre Node.js-Skripte. Eine solche Entwicklung zeigt, dass die Bedrohungsakteure hinter der Stealit-Malware ihr Tool aktiv weiterentwickeln und Taktiken ändern, um den Sicherheitsanbietern einen Schritt voraus zu sein.

Diese Kampagne verdeutlicht, wie Angreifer bereit sind, selbst experimentelle Technologien zu nutzen, um ihre Ziele zu erreichen, in der Hoffnung, Sicherheitsanwendungen und Analysten unvorbereitet zu treffen.

Empfehlungen für Unternehmen und Anwender

Für Unternehmen und Anwender ergeben sich aus dieser Entwicklung folgende Handlungsfelder:

• Sensibilisierung: Informieren Sie Mitarbeiter über die Gefahren von Phishing-Angriffen und das Herunterladen von Software aus inoffiziellen Quellen.
• Endpoint Detection and Response (EDR): Implementieren und konfigurieren Sie EDR-Lösungen, um verdächtige Node.js-Skriptausführungen und ungewöhnliche Installationsverhalten zu erkennen.
• Netzwerküberwachung: Verbessern Sie die Netzwerküberwachung, um anomale ausgehende Verbindungen zu identifizieren, die typisch für Datenexfiltration oder Command-and-Control-Kommunikation sind.
• Anwendungs-Whitelisting: Setzen Sie Richtlinien für Anwendungs-Whitelisting durch, um unautorisierte Softwareinstallationen zu beschränken.
• Regelmäßige Updates: Halten Sie Antiviren- und IPS-Signaturen stets auf dem neuesten Stand.
• Sicherheitsbewusstsein: Fördern Sie die Teilnahme an Schulungen zum Sicherheitsbewusstsein, um Endbenutzern zu helfen, sich vor verschiedenen Arten von Angriffen zu schützen.

Die kontinuierliche Anpassung von Malware-Strategien erfordert eine ebenso dynamische und proaktive Sicherheitsstrategie seitens der Verteidiger. Nur durch ständige Wachsamkeit und die Nutzung fortschrittlicher Sicherheitstechnologien kann den sich entwickelnden Bedrohungen effektiv begegnet werden.

Bibliographie

• Ryan Daws. (2025, 10. Oktober). Stealit malware exploits new Node.js feature in attacks. Developer-Tech.com. Abgerufen von https://www.developer-tech.com/news/stealit-malware-exploits-new-node-js-feature-attacks/
• Eduardo Altares & Joie Salvio. (n.d.). New Stealit Campaign Abuses Node.js Single Executable Application. Fortinet Blog. Abgerufen von https://www.fortinet.com/blog/threat-research/stealit-campaign-abuses-nodejs-single-executable-application
• The Hacker News. (n.d.). Stealit Malware Abuses Node.js Single Executable Feature via Fake Game and VPN Installers. The Hacker News. Abgerufen von https://thehackernews.com/2025/10/stealit-malware-abuses-nodejs-single.html
• Deeba Ahmed. (n.d.). Stealit Malware Using Node.js to Hide in Fake Game and VPN Installers. Hackread.com. Abgerufen von https://hackread.com/stealit-malware-node-js-fake-game-vpn-installers/
• OffSeq Threat Intelligence. (n.d.). Stealit Malware Using Node.js to Hide in Fake Game and VPN Installers. OffSeq Radar. Abgerufen von https://radar.offseq.com/threat/stealit-malware-using-nodejs-to-hide-in-fake-game--b5973dad
• Emma Rogers. (n.d.). New Node.js Malware Evades AV, Steals Crypto on macOS, Windows, Linux. WebProNews. Abgerufen von https://www.webpronews.com/new-node-js-malware-evades-av-steals-crypto-on-macos-windows-linux/
• IT BOLTWISE. (n.d.). ModStealer: Unsichtbare Bedrohung für Krypto-Wallets. IT BOLTWISE. Abgerufen von https://www.it-boltwise.de/modstealer-unsichtbare-bedrohung-fuer-krypto-wallets.html
• Veronika Telychko. (n.d.). Rilevamento Maranhão Stealer: Nuovo Malware di Furto Informazioni Basato su Node.js con Reflective DLL Injection. SOC Prime. Abgerufen von https://socprime.com/it/blog/maranhao-stealer-detection/