سانتا ستيلر هو برنامج خبيث جديد لسرقة المعلومات يستهدف محافظ العملات الرقمية. يقوم هذا البرنامج الخبيث، الذي يُقدّم كخدمة (MaaS)،tracالبيانات الخاصة المرتبطة بأي نوع من العملات الرقمية.
يقول باحثون في شركة Rapid7 إن برنامج SantaStealer هو نسخة مُعاد تسميتها من برنامج سرقة معلومات آخر يُدعى BluelineStealer. وتُشير الشائعات إلى أن مطوّر SantaStealer يُحضّر لإطلاقه على نطاق أوسع قبل نهاية العام.
يُعلن حاليًا عن هذا البرنامج الخبيث على تطبيق تيليجرام ومنتديات المخترقين، ويُقدم كخدمة اشتراك. تبلغ تكلفة الاشتراك الأساسي 175 دولارًا شهريًا، بينما يُعد الاشتراك المميز أغلى ثمنًا ويكلف 300 دولار.
يدّعي مطورو برنامج SantaStealer الخبيث امتلاكهم قدرات على مستوى المؤسسات مع إمكانية تجاوز برامج مكافحة الفيروسات والوصول إلى شبكات الشركات.
سانتا ستيلر يستهدف محافظ العملات المشفرة
تُعدّ محافظ العملات الرقمية محور تركيز برنامج SantaStealer الخبيث. يستهدف هذا البرنامج تطبيقات محافظ العملات الرقمية مثل Exodus وإضافات المتصفح مثل MetaMask، وهو مصممtracالبيانات الخاصة المرتبطة بالأصول الرقمية.
لا يقتصر عمل البرمجية الخبيثة على ذلك، بل تسرق أيضًا بيانات المتصفح، بما في ذلك كلمات المرور وملفات تعريف الارتباط وسجل التصفح ومعلومات بطاقات الائتمان المحفوظة. كما تستهدف منصات المراسلة مثل تيليجرام وديسكورد، بالإضافة إلى بيانات ستيم والمستندات المحلية. ويمكن للبرمجية الخبيثة أيضًا التقاط لقطات شاشة لسطح المكتب.
وللقيام بذلك، يقوم البرنامج بتحميل ملف تنفيذي مضمن. يقوم هذا الملف التنفيذي بفك تشفير التعليمات البرمجية وحقنها في المتصفح، مما يتيح الوصول إلى المفاتيح المحمية.
يقوم برنامج SantaStealer بتشغيل العديد من وحدات جمع البيانات في وقت واحد. تعمل كل وحدة في خيط معالجة منفصل. تُكتب البيانات المسروقة في الذاكرة، وتُضغط في ملفات ZIP، ثم تُستخرج على شكل أجزاء بحجم 10 ميجابايت. تُرسل البيانات إلى خادم تحكم مُبرمج مسبقًا عبر المنفذ 6767.
للوصول إلى بيانات المحفظة المخزنة في المتصفحات، يتجاوز البرنامج الخبيث تشفير التطبيقات المرتبط بمتصفح كروم، والذي تم تقديمه في يوليو 2024. ووفقًا لشركة Rapid7، فقد تمكن العديد من سارقي المعلومات من التغلب عليه بالفعل.
يُسوّق هذا البرنامج الخبيث على أنه متطور، ويتمتع بقدرة فائقة على التخفي. لكن باحثي الأمن في شركة Rapid7 يقولون إن البرنامج لا يرقى إلى مستوى هذه الادعاءات. فالعينات الحالية سهلة التحليل، وتكشف عن رموز وسلاسل نصية قابلة للقراءة. وهذا يشير إلى تطوير متسرع وضعف في الأمن التشغيلي.
كتب ميلان سبينكا من شركة رابيد7: "إن قدرات مكافحة التحليل والتخفي الخاصة ببرنامج السرقة المعلن عنها في لوحة الويب لا تزال بدائية للغاية وغير احترافية، حيث أن حمولة فك تشفير كروم التابعة لجهة خارجية هي فقط المخفية إلى حد ما".
لوحة تحكم برنامج SantaStealer التابعة مصممة بشكل احترافي. يمكن للمشغلين تخصيص عملياتهم، وسرقة جميع البيانات أو التركيز فقط على بيانات المحفظة والمتصفح. كما تتيح الخيارات للمشغلين استبعاد منطقة رابطة الدولdent (CIS) وتأخير التنفيذ.
لم ينتشر برنامج SantaStealer على نطاق واسع بعد، ولا تزال طريقة انتشاره غير واضحة. وتُفضّل الحملات الأخيرة هجمات ClickFix، حيث يتم خداع الضحايا لحملهم على لصق أوامر خبيثة في نوافذ نظام ويندوز.
ووفقاً للباحثين، لا تزال طرق توصيل البرامج الضارة الأخرى شائعة. وتشمل هذه الطرق رسائل البريد الإلكتروني التصيدية، والبرامج المقرصنة، وملفات التورنت، والإعلانات الخبيثة، والتعليقات الخادعة على يوتيوب.
ينصح باحثو الأمن مستخدمي العملات المشفرة بالبقاء متيقظين وتجنب الروابط والمرفقات غير المعروفة.
كتب سبينكا: "تجنب تشغيل أي نوع من التعليمات البرمجية غير الموثقة من مصادر مثل البرامج المقرصنة، وبرامج الغش في ألعاب الفيديو، والمكونات الإضافية غير الموثقة، والامتدادات."
