كشفت فرق البحث لدى Fortinet FortiGuard Labs عن حملة برمجيات خبيثة نشطة تُدعى Stealit تستغل ميزة Single Executable Application (SEA) في بيئة Node.js (وأحيانًا إطار Electron) لتوزيع أحمالها الخبيثة عبر مثبتات مزيفة لألعاب وبرامج VPN مرفوعة على مواقع مشاركة الملفات مثل Mediafire وDiscord. تتيح هذه الميزة تعبئة تطبيقات Node.js كملف تنفيذي مستقل يعمل دون حاجة إلى توافر رانتايم Node.js على الجهاز، ما يسهل نشر البرمجيات الخبيثة على نطاق واسع.
طريقة التوزيع وبعض عناصر التسعير
يُروّج المهاجمون لإنتاجهم عبر موقع مخصّص يدّعون فيه تقديم “حلول استخراج بيانات احترافية” ضمن خطط اشتراك مختلفة، تشمل برمجيات RAT لأنظمة Android وWindows. يتراوح سعر Windows Stealer بين 29.99 دولارًا للاشتراك الأسبوعي و499.99 دولارًا لرخصة مدى الحياة، بينما تبدأ أسعار RAT لنظام Android من 99.99 دولارًا وتصل إلى 1,999.99 دولارًا للرخصة الدائمة.
تُحمّل الملفات التنفيذية المزيفة مُثبتًا يقوم بسحب مكونات البرمجية الخبيثة الأساسية من خادم قيادة وتحكّم (C2) وتثبيتها، بعد اجتياز سلسلة من فحوصات مضاد التحليل للتأكد من أن البيئة ليست افتراضية أو محمية بصندوق رمل.
سلوك البرمجية وملفات الاعتماد
خلال عملية التهيئة، تكتب البرمجية مفتاح مصادقة مشفّرًا بـBase64 (مكونًا من 12 حرفًا أبجديًا رقميًا) في الملف، ويُستخدم هذا المفتاح للمصادقة مع خادم C2 وللدخول إلى لوحة تحكم المشتركين لمراقبة ضحاياهم. كما تعدّل Stealit إعدادات Microsoft Defender Antivirus لاستثناء المجلد الذي يحتوي المكونات المُحمَّلة من الفحص، ما يسهل إخفاء نشاطها.
مكونات التنفيذ والوظائف الملحقة
ثلاثة ملفات تنفيذية رئيسية تُستخدم في الحملة، كلٌّ منها يقوم بوظائف محددة:
-
save_data.exe: يُنشر ويُشغّل فقط عند وجود امتيازات مرتفعة؛ يسقط أداة اسمها “cache.exe” (جزء من مشروع مفتوح المصدر ChromElevator) لاستخراج بيانات المتصفحات المبنية على Chromium.
-
stats_db.exe: مُصمم لاستخراج بيانات من برامج المراسلة (Telegram، WhatsApp)، ومحافظ العملات المشفرة وامتداداتها (مثل Atomic وExodus)، وكذلك بيانات تطبيقات الألعاب (Steam، Minecraft، GrowTopia، وEpic Games Launcher).
-
game_cache.exe: يُؤمّن الاستمرارية عبر إنشاء سكربت Visual Basic يُشغّل عند إعادة التشغيل، ويتواصل مع خادم C2 لبث شاشة الضحية مباشرةً، تنفيذ أوامر عشوائية، رفع/تنزيل ملفات، وتغيير خلفية سطح المكتب.
ذكر الباحثان Eduardo Altares وJoie Salvio أن بعض الإصدارات اعتمدت إطار Electron، وأن استغلال ميزة SEA التجريبية يوفّر للمهاجمين عنصر المفاجأة، مستغَلّين حداثة الميزة ودفعهم لاغتنام فرصة الالتفاف على أدوات الكشف التقليدية.
