Una Al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Stealit: el malware furtivo que usa Node.js para disfrazarse de juegos y VPNs y robar datos

Stealit: el malware furtivo que usa Node.js para disfrazarse de juegos y VPNs y robar datos

Por Deja un comentario

Una nueva campaña maliciosa ha emergido en el panorama cibernético. Bajo el nombre de Stealit, este malware de tipo MaaS (malware como servicio) se infiltra disfrazado en instaladores de juegos populares y aplicaciones VPN. Utiliza astuciosamente la tecnología Node.js —con su modalidad SEA (Single Executable Application)— para evadir detección, robar credenciales, billeteras de criptomonedas y mucho más.

La amenaza oculta y sus artimañas

Los laboratorios FortiGuard de Fortinet alertan sobre una operación activa que distribuye Stealit, un programa malicioso que actúa como un ladrón silencioso de información.
Lo más inquietante: su disfraz no es obvio. Los atacantes lo esconden dentro de supuestos instaladores legítimos de juegos o VPNs, para que la víctima lo ejecute sin sospechar.

En versiones anteriores, Stealit se apoyaba en Electron como plataforma para desplegar su carga. Pero ahora ha adoptado el modo SEA de Node.js, que permite empaquetar todos los componentes maliciosos en un único archivo ejecutable. Así, ya no necesita que la máquina tenga Node.js instalado o dependencias adicionales.

Para complicar aún más la labor de los defensores, el código del malware está muy ofuscado y contempla numerosas comprobaciones anti-análisis: si detecta un entorno virtual, un depurador o procesos sospechosos, aborta su ejecución.

Operación “profesional” como servicio

Lejos de ser un proyecto amateur, los operadores de Stealit lo ofrecen como un servicio comercial con planes de suscripción: la versión para Windows ronda los US$ 500, mientras que la versión para Android puede alcanzar los US$ 2.000.

Además, cambian de servidor de comando y control (C2) con frecuencia —por ejemplo, migaron del dominio stealituptaded.lol a iloveanimals.shop— como medida evasiva frente a bloqueos.

Entre sus capacidades maliciosas destacan:

  • Extracción de archivos
  • Despliegue de ransomware
  • Supervisión en vivo del escritorio y control de webcam
  • Gestión remota del sistema (reinicios, apagados)
  • Envío de alertas falsas a la víctima para crear distracción o manipulación psicológica

Lo que se pone en juego

Cuando alguien ejecuta el instalador fraudulento, Stealit se activa y busca credenciales de cuentas, datos privados e incluso billeteras de criptomonedas presentes en la máquina.
Como vector de distribución, los atacantes usan sitios de almacenamiento de archivos (como MediaFire) y plataformas de mensajería como Discord para propagar los instaladores disfrazados.

Incluso cabría esperar que, para confundir más a los analistas, los operadores alternen entre usar SEA de Node.js y retornar al uso de Electron, cambiando sus tácticas continuamente.

Trey Ford, estratega en Bugcrowd, subraya un punto interesante: los jugadores suelen tener equipos potentes y están acostumbrados a instalar programas diversos (mods, utilitarios, parches). Esa “libertad” de instalación los convierte en blancos ideales si también usan esos equipos para trabajo profesional.

La amenaza oculta y sus artimañas

Los laboratorios FortiGuard de Fortinet alertan sobre una operación activa que distribuye Stealit, un programa malicioso que actúa como un ladrón silencioso de información.
Lo más inquietante: su disfraz no es obvio. Los atacantes lo esconden dentro de supuestos instaladores legítimos de juegos o VPNs, para que la víctima lo ejecute sin sospechar.

En versiones anteriores, Stealit se apoyaba en Electron como plataforma para desplegar su carga. Pero ahora ha adoptado el modo SEA de Node.js, que permite empaquetar todos los componentes maliciosos en un único archivo ejecutable. Así, ya no necesita que la máquina tenga Node.js instalado o dependencias adicionales.

Para complicar aún más la labor de los defensores, el código del malware está muy ofuscado y contempla numerosas comprobaciones anti-análisis: si detecta un entorno virtual, un depurador o procesos sospechosos, aborta su ejecución.

Operación “profesional” como servicio

Lejos de ser un proyecto amateur, los operadores de Stealit lo ofrecen como un servicio comercial con planes de suscripción: la versión para Windows ronda los US$ 500, mientras que la versión para Android puede alcanzar los US$ 2.000.

Además, cambian de servidor de comando y control (C2) con frecuencia —por ejemplo, migaron del dominio stealituptaded.lol a iloveanimals.shop— como medida evasiva frente a bloqueos.

Entre sus capacidades maliciosas destacan:

  • Extracción de archivos
  • Despliegue de ransomware
  • Supervisión en vivo del escritorio y control de webcam
  • Gestión remota del sistema (reinicios, apagados)
  • Envío de alertas falsas a la víctima para crear distracción o manipulación psicológica

Lo que se pone en juego

Cuando alguien ejecuta el instalador fraudulento, Stealit se activa y busca credenciales de cuentas, datos privados e incluso billeteras de criptomonedas presentes en la máquina.
Como vector de distribución, los atacantes usan sitios de almacenamiento de archivos (como MediaFire) y plataformas de mensajería como Discord para propagar los instaladores disfrazados.

Incluso cabría esperar que, para confundir más a los analistas, los operadores alternen entre usar SEA de Node.js y retornar al uso de Electron, cambiando sus tácticas continuamente.

Trey Ford, estratega en Bugcrowd, subraya un punto interesante: los jugadores suelen tener equipos potentes y están acostumbrados a instalar programas diversos (mods, utilitarios, parches). Esa “libertad” de instalación los convierte en blancos ideales si también usan esos equipos para trabajo profesional.

Conclusiones

  • La campaña Stealit ejemplifica la evolución constante de las amenazas digitales: no basta ya con detectar malware tradicional; los atacantes están reutilizando características legítimas de plataformas (Node.js SEA) para camuflarse.
  • Disfrazarse como software popular (juegos, VPNs) sigue siendo un método efectivo de ingeniería social técnica: muchos usuarios bajan instaladores confiando en su fuente aparente.
  • La estrategia MaaS permite profesionalizar el cibercrimen, ofrecer soporte técnico y cobrar por “servicios”, lo cual impulsa su rentabilidad y proliferación.

Recomendaciones

  1. Descargar solo desde fuentes oficiales. Evitar repositorios no verificados o links compartidos en chats sin confirmación.
  2. Verificar firmas digitales. Productos legítimos suelen estar firmados con certificados; si no lo están, desconfiar.
  3. Usar herramientas de detección avanzada. Antivirus con capacidad heurística, motores de análisis de comportamiento y sandbox pueden ayudar a identificar código sospechoso.
  4. Separar uso profesional y de entretenimiento. Evitar que el equipo de trabajo también sea el mismo que se usa para juegos o descargas riesgosas.
  5. Monitoreo continuo de comportamiento. Establecer alertas o sistemas para detectar accesos inusuales, procesos desconocidos o exfiltración de datos.

Más información

HackRead, “Stealit Malware Using Node.js to Hide in Fake Game and VPN Installer: https://hackread.com/stealit-malware-node-js-fake-game-vpn-installers/

Acerca de jmgalvis

Juan Manuel Galvis Ha escrito 4 publicaciones.

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.