SteamCleaner legitimidade adulterada: instalador assinado entrega backdoor Node.js | Riscos e Ameaças

Investigação da ASEC (relatada pelo Cybersecurity News) identifica versão adulterada do SteamCleaner distribuída por sites falsos; instalador assinado instala Node.js e dois scripts maliciosos que persistem via Windows Task Scheduler e se comunicam com C2s (rt-guard[.]com, 4tressx[.]com, aginscore[.]com).

Pesquisadores identificaram uma campanha que distribui uma versão adulterada do SteamCleaner — utilitário legítimo de limpeza para Steam sem atualizações desde 2018 — usando instaladores assinados para implantar um backdoor baseado em Node.js e manter persistência em máquinas Windows.

Descoberta e escopo

Relatado pelo Cybersecurity News com base em análise da ASEC (conforme citada na matéria), o pacote malicioso é entregue como Setup.exe (4,66 MB) e está assinado com um certificado válido da Taiyuan Jiankang Technology Co., Ltd. Ao executar o instalador, o malware instala arquivos em C:\Program Files\Steam Cleaner\, incluindo Steam Cleaner.exe (aprox. 3.472 KB), arquivos de configuração e scripts em lote.

Abordagem técnica e persistência

Os atacantes mantiveram a funcionalidade legítima do SteamCleaner para evitar suspeitas e adicionaram verificações anti‑sandbox (análise de informações do sistema, enumeração de portas, consultas WMI e monitoramento de processos). Se o ambiente for identificado como sandbox, o código malicioso evita executar funcionalidades ofensivas e apenas roda a limpeza legítima.

O payload utiliza comandos PowerShell criptografados para orquestrar a instalação do Node.js e o download de dois scripts maliciosos de C2 distintos. Ambos os scripts são registrados no Windows Task Scheduler para garantir persistência: um executa no caminho C:\WCM{UUID}\UUID e repara a cada hora com o nome de tarefa Microsoft/Windows/WCM/WiFiSpeedScheduler; o outro opera em C:\WindowsSetting{UUID}\UUID com a tarefa Microsoft/Windows/Diagnosis/Recommended DiagnosisScheduler.

Comunicação com C2

As duas amostras Node.js estabelecem canais bidirecionais com servidores C2, trocando payloads JSON estruturados. Na conexão, os scripts transmitem dados de reconhecimento do sistema (tipo/version do OS, hostname, arquitetura e um identificador único de máquina derivado do GUID do dispositivo). A primeira variante interage com domínios como rt-guard[.]com, 4tressx[.]com, kuchiku[.]digital e screenner[.]com, enquanto a segunda se comunica com aginscore[.]com. A infraestrutura apresenta dois endpoints primários: /d (receber comandos) e /e (enviar resultados de execução).

Impacto e vetores de distribuição

O malware é distribuído por sites fraudulentos que simulam repositórios de software ilegal; usuários que procuram versões “crackeadas” ou keygens são redirecionados a repositórios no GitHub que hospedam o Setup.exe malicioso. A campanha explora o apelo do software de terceiros para atingir usuários finais e comprometer estações de trabalho Windows.

Recomendações (conforme a matéria)

Evitar downloads de fontes não oficiais ou repositórios de software pirata.
Inspecionar assinaturas digitais com cautela: a presença de assinatura válida não garante a integridade do conteúdo.
Monitorar tarefas agendadas suspeitas e caminhos incomuns de execução (ex.: C:\WCM{UUID} e C:\WindowsSetting{UUID}).
Aplicar detecção de comportamentos Node.js e monitorar conexões a domínios citados pela análise quando apropriado.

Limites das informações

A cobertura do Cybersecurity News resume a investigação da ASEC com domínios e artefatos identificados; contudo, não há no resumo dados sobre número de vítimas, alcance geográfico ou amostras de hashes. Para resposta técnica, equipes devem obter o relatório técnico completo da ASEC e integrá‑lo a seus feeds de inteligência para ações de contenção.