New Stealit Malware Exploits Node.js Extensions to Target Windows Systems
2025/10/11 gbhackers — 実験的な Node.js 機能を悪用して Windows システムを感染させる新たな Stealit マルウェアの活動を、セキュリティ研究者が確認した。FortiGuard Labs のレポートによると、この攻撃者は Node.js の Single Executable Application (SEA) 機能を用いて、悪意のペイロードをパッケージ化して配布している。この新たな戦術は、Electron フレームワークに依存していた、従来の Stealit バージョンからの転換を示している。このマルウェアは、Mediafire や Discord などのファイル共有プラットフォームを経由し、人気ゲームや VPN ソフトウェアのインストーラーを装いながら拡散している。
セキュリティ・アナリストが、侵害マシンで永続性を確立するために使われる Visual Basic スクリプトの検出数が急増していることに気づき、この問題を確認した。
Single Executable Application (SEA) を使用するマルウェアは、プリインストールされた Node.js ランタイムを必要とせず、スタンドアロン・バイナリとして配布できるため、攻撃者にとって汎用的な手段となる。
Stealit マルウェアは Node.js 拡張機能を悪用
Stealit の運営者は、高度な Malware-as-a-Service (MaaS) 事業を展開しており、公開 Web サイト上で自社製品を宣伝している。
このサイトは、最近になって削除を回避するためにドメインを移動しており、Stealit を “プロフェッショナルなデータ抽出ソリューション” と称して、複数のサブスクリプション・プランを提供している。
Windows 版は約 $ 500 で生涯ライセンスを購入できるのに対し、Android 版は約 $ 2,000 と高額である。
この Web サイトには、マルウェアの広範な機能が詳細に記載されており、リモート・ファイル・アクセス/Web カメラの乗っ取り/ライブ画面監視といった典型的な RAT (Remote Access Trojan) の機能に加え、ランサムウェアを展開するモジュールも提供される。
このサービスは公開 Telegram チャンネルでも宣伝されており、そこで更新情報を投稿する運営者は、潜在的な顧客とやり取りすることで、サイバー犯罪事業の専門性と商業性を強調している。
Stealit のオペレーターが宣伝する主な機能は、以下のとおりである。
- ライブ画面表示と Web カメラへのアクセス。
- リモート・シャットダウンおよび再起動を含むシステム管理機能。
- 組み込みターミナルインターフェイスを介したコマンド実行。
- デスクトップやドキュメントなど重要ディレクトリからのファイル抽出。
- 被害者との直接通信チャネルを利用したランサムウェア展開。
- ユーザーを欺くための偽警告メッセージの生成。
- リモート・オーディオ再生および壁紙変更機能。
高度な回避技術
最新版の Stealit は、ユーザーが初期インストーラーを実行した時点で攻撃を開始し、検出回避と解析妨害を目的とした、多層化/難読化のための機能を備えている。
それにより、高度に難読化されたスクリプトをメモリ内で復号/実行する多段階プロセスが起動する。そしてマルウェアは、メイン・ペイロードを展開する前に、仮想マシンやセキュリティ分析環境内での実行を判定するための、一連の厳格なチェックを実行する。
その後に、システムメモリ/CPU コア数/ホスト名/実行中のプロセス/レジストリキーなどを検査し、サンドボックスやデバッグ・ツールの痕跡を探す。こうした痕跡が検出されると、マルウェアは直ちに実行を終了し、偽のエラー・メッセージを表示する。この堅牢な防御メカニズムにより、被害者のシステム上で検出されずに潜伏したままインストールを継続できる。
Stealit が採用する解析回避技術は以下のとおりである。
- ハードウェアおよびシステムチェックによる仮想環境の検出。
- プロセス監視によるデバッグ・解析ツールの特定。
- レジストリ検査によるセキュリティ・ソフトウェアの痕跡の検出。
- ネットワーク・ポート・スキャンによる監視システムの検出。
- DLL インジェクション解析によるロード済みセキュリティ・モジュールの特定。
- 親プロセス検証による研究者環境の回避。
- タイミング解析によるサンドボックス化された実行環境の検出。
広範なデータ窃取機能
セキュリティ・チェックを回避した後のマルウェアは、C2 サーバから複数のコンポーネントをダウンロードし、主目的であるデータ窃取を実行する。さらに、エンドポイントの検知を回避するため、インストール先ディレクトリを Windows Defender の除外リストに追加する。
その後に、主要コンポーネントである “save_data.exe” が、ChromElevator を利用して Chromium ベースのブラウザに保存されている認証情報や Cookie を抽出する。もう1つのモジュールである “stats_db.exe” は、Telegram/WhatsApp/Steam/Epic Games/各種暗号通貨ウォレットなどの幅広いアプリケーションからデータを窃取するよう設計されている。
この脅威アクターは、機敏性も発揮している。発見されてから数週間も経ずに、Electron フレームワークへと戻り、スクリプトに AES-256-GCM 暗号化を追加している。それが示すのは、この脅威の急速な進化と持続性である。
Indicators of Compromise (IoCs):
| Type | SHA256 / URL |
|---|---|
| File | 554b318790ad91e330dced927c92974d6c77364ceddfb8c2a2c830d8b58e203c |
| File | aa8f0988f1416f6e449b036d5bd1624b793b71d62889afdc4983ee21a1e7ca87 |
| File | 5ea27a10c63d0bbd04dbea5ec08fe0524e794c74d89f92ac6694cfd8df786b1f |
| File | 083c4e0ffdc9edf0d93655ee4d665c838d2a5431b8064242d93a545bd9ad761b |
| File | 432b8414113a8c14c0305a562a93ed926e77de351bac235552a59cc02e1e5627 |
| File | 8e1cf254d23e2b94c77294079336339ececf33a3e7ee1a3621ee4e0df0695ce5 |
| File | 919a2107ac27e49cdaa60610706e05edfc99bd3f2e9ca75da4feb6a5f2517c27 |
| File | e004f8e39e489dec74a13d99836ee5693bd509047ecf49f3fc14efc143a161b5 |
| File | 818350a4fb4146072a25f0467c5c99571c854d58bec30330e7db343bceca008b |
| File | 8814db9e125d0c2b7489f8c7c3e95adf41f992d4397ed718bda8573cb8fb0e83 |
| File | 24b3def3f374c5f17ec9f1a347c71d9c921155c878ab36e48dd096da418bf782 |
| File | c38130d7cb43cf3da4858247a751d7b9a3804183db8c4c571b6eede0590474da |
| URL | https[:]//iloveanimals[.]shop/ |
| URL | https[:]//iloveanimals[.]shop/user/login |
| URL | https[:]//root[.]iloveanimals[.]shop/download/save_data |
| URL | https[:]//root[.]iloveanimals[.]shop/download/stats_db |
| URL | https[:]//root[.]iloveanimals[.]shop/download/game_cache |
| URL | https[:]//root[.]iloveanimals[.]shop/panelping |
| URL | https[:]//root[.]stealituptaded[.]lol/download/save_data |
| URL | https[:]//root[.]stealituptaded[.]lol/download/stats_db |
| URL | https[:]//root[.]stealituptaded[.]lol/download/game_cache |
| URL | https[:]//cdn[.]discordapp[.]com/attachments/1395171942494896190/1413957011837816915/VrchatPlugin.rar?ex=68bdd195&is=68bc8015&hm=b9f359a7f75b84d1b860d2aa4dd92f8adad3a2feef5d82832f49d664a256ff7b& |
| URL | https[:]//www[.]mediafire[.]com/file/9ni7pgjxuw8pc6h/ShaderSetup.rar/file |
| URL | Https[:]//download1529[.]mediafire[.]com/8006s55pduvgtQ0THBMZxcLtlrh20a5BnfF18n8YfGUB8P7M5U3mEQb-UYYDCrMHsSG0aWvnyy_LIMg2OnTc4kuNYmWzjWLQwOds-qSfhdO03NOQFAAaYCPiOvB8nU7mBEHe-3a5gDSufW6upPbFXyGlbzBTdtpcrVPXokNKOYZ9/c4zbp39q02jvrn8/Aykadia.rar |
Stealit マルウェアの新しいバージョンは、Node.js の実験的な機能 (SEA) を悪用し、プリインストール不要の単一実行バイナリとしてマルウェアを配布しているようです。それにより、従来の Electron 依存型と比べて、配布や侵入のハードルが下がり、Mediafire や Discord 経由で巧妙に拡散されていきます。さらにメモリ内復号やサンドボックス検出回避といった多層の解析回避技術が組み合わさることで、検出や解析が非常に困難になっていると、この記事は指摘しています。よろしければ、Electron で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.