Jozsef Gegeny e Ilia Dafchev di Acronis mettono in evidenza l’ecosistema criminale che si nasconde dietro i moderni giochi e App per rubare dati e infettare PC.
Con la continua evoluzione delle minacce malware, è emersa una tendenza preoccupante: un numero crescente di programmi dannosi viene distribuito tramite Discord, in particolare quelli creati utilizzando il framework Electron.
Questo framework, sebbene meno conosciuto al di fuori dei circoli di sviluppo, è uno strumento open source che consente agli sviluppatori di creare applicazioni desktop multipiattaforma utilizzando JavaScript, HTML e CSS.
Esso combina Node.js per le funzionalità di back-end e Chromium per il rendering dell’interfaccia utente. È la base di molte applicazioni ampiamente utilizzate, tra cui Visual Studio Code, Spotify, Slack, Discord e alcune versioni di Skype e Microsoft Teams.
L’indagine di Acronis indica che molte attività malevole basate su Electron possono essere collegate a Less Stealer, uno strumento fondamentale per compromissioni basate su malware.
Commercializzato come malware as a service (MaaS), offriva rapidamente piani di abbonamento a più livelli: un pacchetto Starter al prezzo di $ 30 al mese e un pacchetto Advanced più ricco di funzionalità a $ 40 al mese.
Nonostante la sua presenza relativamente modesta (il suo canale Telegram contava appena 387 iscritti all’inizio del 2025), Leet Stealer non è da sottovalutare. Sebbene il numero di follower possa sembrare basso, è comunque abbastanza significativo da meritare attenzione, soprattutto considerando il suo sviluppo attivo e l’attività di vendita.
Lo sviluppatore di Leet Stealer ha dichiarato di accettare richieste speciali per la creazione di ladri personalizzati. Riteniamo che questo sia probabilmente il modo in cui RMC Stealer ha avuto origine, come una copia modificata di Leet Stealer, una connessione confermata attraverso il confronto del codice.
Sniffer Stealer si distingue come un’eccezione. Finora, non abbiamo identificato alcun fork, clone o lignaggio di codice correlato che lo colleghi ad altre famiglie note. In questa fase, riteniamo che Sniffer Stealer possa essere stato sviluppato in modo indipendente, da zero. Questa valutazione potrebbe cambiare man mano che raccogliamo più dati.
Dettagli della campagna
Nel IOC , abbiamo elencato alcuni set di campioni di ladri raccolti negli ultimi due mesi. Dai nomi dei campioni emerge uno schema molto chiaro: la maggior parte si maschera da installatori di giochi indie, spesso rivendicando l’associazione con Steam o con nomi che suonano come titoli di giochi
Giochi come Catly, Eden e Rooted sono elencati su Steam, ma le loro date di uscita non sono state ancora annunciate. Alcuni di essi potrebbero essere disponibili tramite il programma di accesso anticipato di Steam, in cui i giocatori possono provare i giochi prima che siano ufficialmente finiti. Per questo motivo, l’idea di un “beta installer” sembra credibile ed eccitante per molti giocatori, specialmente quelli che amano trovare nuovi giochi indie. I criminali informatici ne approfittano creando falsi programmi di installazione di giochi che in realtà contengono malware e li diffondono su piattaforme come Discord, dove i link ai giochi sono spesso condivisi. Le sezioni seguenti presentano una selezione di esempi di giochi falsi osservati negli ultimi due mesi.
Gioco falso #1: Baruda Quest
Per far sembrare questi giochi falsi più convincenti, gli aggressori spesso fanno il possibile creando siti Web dedicati e persino canali YouTube per promuoverli. Un ottimo esempio di questo è Baruda Quest. Canale YouTube falso: hxxps://www[.]youtube[.]com/watch?v=N3OTRiidWUQ
Il sito Web offriva collegamenti per il download per Windows, Android e macOS. Tuttavia, solo la versione per Windows conteneva malware, una variante di RMC Stealer. Gli altri due link reindirizzavano gli utenti al legittimo gioco del mondo virtuale Club Cooee, da cui gli aggressori avevano rubato opere d’arte e marchi per far sembrare Baruda Quest autentico.
Gioco falso #2: Fuoco di tempesta di guerra
La lingua predefinita del sito web di Warstorm Fire era il portoghese, suggerendo una probabile origine in Brasile. La grafica e il marchio del gioco sono stati copiati direttamente dal gioco legittimo Crossfire: Sierra Squad.
Dopo aver analizzato diversi campioni di giochi falsi, abbiamo scoperto che nessuno di essi conteneva alcun contenuto di gioco reale. Invece, il malware si basa sull’ ingegneria sociale, portando le vittime a credere che qualcosa sia andato storto durante l’installazione o che il loro hardware semplicemente non soddisfi i requisiti di sistema del gioco.
Per molte delle pagine Web false, la lingua predefinita è impostata sul portoghese, che si allinea con ciò che abbiamo osservato nella telemetria di invio di VirusTotal. Il maggior numero di campioni proveniva dal Brasile, ma gli Stati Uniti lo seguivano da vicino, suggerendo che la campagna potrebbe essersi espansa rapidamente oltre i confini linguistici e regionali:
Mentre la lingua portoghese suggerisce che la campagna potrebbe aver avuto origine in Brasile, la forte presenza di invii dagli Stati Uniti mostra che il malware è stato probabilmente distribuito in modo più ampio, possibilmente attraverso piattaforme globali come Discord.
Analisi tecnica
In questa sezione, forniremo una panoramica tecnica di come vengono costruiti questi campioni di malware basati su Electron. Per fare ciò, utilizzeremo un esempio della campagna Baruda Quest per un motivo semplice: lo sviluppatore ha accidentalmente incluso il codice sorgente originale e non offuscato all’interno del pacchetto. Questo ci risparmia lo sforzo di navigare attraverso più livelli di offuscamento e ci consente di capire direttamente come operano questi ladri.
NSIS
BarudaQuest.exe è un eseguibile da 80 MB che è rimasto in gran parte inosservato su VirusTotal per oltre due mesi, con solo due motori antivirus su 71 che lo hanno segnalato come dannoso. Questo basso tasso di rilevamento è probabilmente dovuto a una combinazione di fattori: le grandi dimensioni del file, l’uso del framework Electron, che impacchetta un intero ambiente di runtime, e l’offuscamento JavaScript pesante che rende più difficile l’analisi dei comportamenti dannosi.
Inoltre, l’eseguibile è impacchettato utilizzando il Nullsoft Installer (noto anche come NSIS) e può contenere centinaia di file. Fortunatamente, c’è solo un file che ci interessa particolarmente: app.asar. Questo file contiene il codice JavaScript dannoso. Per estrarre il file .asar, possiamo utilizzare 7-Zip, che supporta la decompressione dei file dai programmi di installazione NSIS.
Archivio Asar
Il file app.asar incorporato è di circa 8,5 MB, una dimensione più ragionevole, anche se ancora un po’ grande. Successivamente, vedremo se riusciamo a suddividerlo ulteriormente. Un archivio ASAR inizia con una breve intestazione binaria di 16 byte, seguita da un’intestazione JSON e quindi dai file incorporati effettivi. Dall’intestazione binaria, possiamo determinare la dimensione dell’intestazione JSON, che in questo caso è di 0x5a4ab (369835 byte), codificata in formato little-endian:
Sebbene sia possibile scrivere uno script personalizzato per analizzare l’archivio ASAR leggendo direttamente l’intestazione JSON, esiste un modo molto più semplice. Installando Node.js, è possibile utilizzare l’utilità asar per estrarre l’archivio, come descritto nella documentazione ufficiale di Electron, vedi qui. Una volta estratto, l’archivio ASAR rivela la seguente struttura di file e directory: se non sono disponibili metodi alternativi, diventa necessario decompilare e analizzare il codice. Fortunatamente, l’autore del malware ha commesso un errore lasciando il codice sorgente originale all’interno dell’archivio ASAR: sebbene questa svista sia spiacevole per l’aggressore, avvantaggia notevolmente i ricercatori accelerando significativamente il processo di analisi e risparmiando tempo prezioso.
Analisi del codice del malware
In questa sezione analizzeremo il file rgg_original.js, che contiene una versione modificata di Leet Stealer, soprannominata RMC Stealer.
Rilevamento sandbox
Il malware inizia eseguendo il rilevamento sandbox, utilizzando blacklist che prendono di mira indirizzi IP, nomi host, nomi utente, GPU, sistemi operativi e processi in esecuzione:
Inoltre, conduce un controllo finale sulla dimensione della RAM del sistema; se la memoria disponibile è inferiore a 2 GB, la macchina viene contrassegnata come potenziale ambiente sandbox:
Dopo aver rilevato una sandbox, il malware rilascia ed esegue uno script denominato fakeErr_[random_characters].vbs, che visualizza un messaggio di errore falso, impedendo efficacemente l’esecuzione del campione all’interno di una macchina virtuale: è interessante notare che Sniffer Stealer utilizza anche falsi messaggi di errore; tuttavia, a differenza degli errori di rilevamento sandbox utilizzati da Leet / RMC Stealer, questi messaggi sono progettati per imitare i problemi comuni relativi al gioco. Questa tattica mira a ridurre i sospetti convincendo la vittima che il gioco che ha tentato di eseguire non funziona correttamente o è installato in modo errato. Esempi di questi messaggi di errore fabbricati in Sniffer Stealer, da cui il malware ne seleziona casualmente uno da visualizzare, includono:
Esfiltrazione dei dati del browser
Se il computer supera correttamente il rilevamento sandbox, il malware procede alla raccolta dei dati dai browser Web installati. Il processo di raccolta dei dati riguarda i cookie, le password salvate e i dati dei moduli:
Raccolta dei dati del browser
Il malware supporta tutti i principali browser, tra cui Chrome, Edge, Brave, Opera, Vivaldi, Yandex e Chromium. In particolare, utilizza una tecnica sofisticata eseguendo il browser in modalità di debug, consentendogli di collegarsi al processo ed estrarre i cookie direttamente dall’istanza di cui è stato eseguito il debug:
Utilizzo della modalità di debug
I dati rubati vengono quindi compressi in un archivio ZIP e inizialmente caricati su gofile.io, seguiti da una notifica inviata al server di comando e controllo (C2):
Caricamento su gofile.io
Se il caricamento su gofile.io non riesce, il malware tenta di esfiltrare i dati tramite servizi di condivisione file alternativi come file.io, catbox.moe e tmpfiles.org.
Il malware prende di mira anche Discord, raccogliendo vari dettagli dall’account della vittima. Riteniamo che questa rappresenti una fase critica nella funzionalità del ladro, poiché i token Discord fungono da credenziali di autenticazione che garantiscono l’accesso completo all’account di un utente, bypassando la necessità di un nome utente o di una password. Con un token valido, un utente malintenzionato può accedere a messaggi privati, elenchi di amici, server e altre informazioni personali sensibili. Inoltre, l’account compromesso può essere sfruttato per distribuire collegamenti dannosi o messaggi di phishing ai contatti della vittima, facilitando l’ulteriore diffusione del malware.
Oltre a Discord, si rivolge a molte altre piattaforme, tra cui:
• Microsoft Steam
• Growtopia
• MineCraft
• Epic Games
• WhatsApp
• Telegram
• BetterDiscord (una versione non ufficiale di Discord)
Installazione di altri malware
È stato interessante osservare che in altre varianti del Leet Stealer, i commenti in portoghese o turco compaiono accanto a quelli in inglese. Ciò riflette il modo in cui il codice sorgente è stato passato di mano in mano, con le persone che lo modificano e lo alterano lungo il percorso:
Conclusione
I ladri, camuffati da giochi falsi e file di installazione, dimostrano come le moderne campagne di malware si siano evolute oltre i semplici trucchi tecnici. Ora si affidano molto all’ingegneria sociale, al branding e ai segnali psicologici per ingannare gli utenti. Mascherando il malware da giochi e supportandolo con siti Web falsi e materiale promozionale, gli aggressori offuscano il confine tra contenuti legittimi e inganno.
Le piattaforme di social media come Discord sono popolari tra il pubblico più giovane ed esperto di tecnologia e fungono da canali di distribuzione efficaci, soprattutto quando gli aggressori sfruttano nomi di giochi riconoscibili o l’hype dell’accesso anticipato.
