SantaStealer ist eine neue Malware, die auf den Diebstahl von Informationen aus Krypto-Wallets abzielt. Die Malware-as-a-Service (MaaS)tracprivate Daten, die mit beliebigen Kryptowährungen verknüpft sind.
Forscher von Rapid7 geben an, dass SantaStealer eine umbenannte Version des Infostealers BluelineStealer ist. Gerüchten zufolge bereitet der Entwickler von SantaStealer noch vor Jahresende eine breitere Markteinführung vor.
Aktuell wird die Schadsoftware auf Telegram und in Hackerforen beworben und als Abonnement angeboten. Der Basiszugang kostet 175 US-Dollar pro Monat, der Premiumzugang ist mit 300 US-Dollar teurer.
Die Entwickler der SantaStealer-Malware behaupten, dass sie über Fähigkeiten auf Unternehmensebene verfügt, mit denen sie Antivirenprogramme umgehen und Zugriff auf Unternehmensnetzwerke erhalten kann.
SantaStealer zielt auf Krypto-Wallets ab
SantaStealer konzentriert sich hauptsächlich auf Krypto-Wallets. Die Schadsoftware zielt auf Krypto-Wallet-Apps wie Exodus und Browsererweiterungen wie MetaMask ab. Sie ist darauf ausgelegt, private Daten im Zusammenhang mit digitalen Vermögenswerten zutrac.
Die Schadsoftware beschränkt sich nicht darauf. Sie stiehlt auch Browserdaten, darunter Passwörter, Cookies, Browserverlauf und gespeicherte Kreditkarteninformationen. Auch Messenger-Dienste wie Telegram und Discord werden angegriffen. Steam-Daten und lokale Dokumente sind ebenfalls betroffen. Die Schadsoftware kann zudem Screenshots des Desktops erstellen.
Dazu wird eine eingebettete ausführbare Datei geladen oder abgelegt. Diese Datei entschlüsselt den Code und fügt ihn in den Browser ein. Dadurch wird der Zugriff auf geschützte Schlüssel ermöglicht.
SantaStealer führt mehrere Datenerfassungsmodule gleichzeitig aus. Jedes Modul läuft in einem eigenen Thread. Gestohlene Daten werden in den Speicher geschrieben, in ZIP-Dateien komprimiert und in 10-MB-Blöcken exfiltriert. Die Daten werden über Port 6767 an einen fest codierten Command-and-Control-Server gesendet.
Um an in Browsern, umgeht die Malware die im Juli 2024 eingeführte App-gebundene Verschlüsselung von Chrome. Laut Rapid7 haben bereits mehrere Datendiebe diese überwunden.
Die Schadsoftware wird als hochentwickelt und mit vollständiger Tarnung beworben. Die Sicherheitsforscher von Rapid7 geben jedoch an, dass die Schadsoftware diesen Behauptungen nicht gerecht wird. Aktuelle Exemplare sind leicht zu analysieren und legen Symbole und lesbare Zeichenketten offen. Dies deutet auf eine überhastete Entwicklung und mangelhafte operative Sicherheit hin.
„Die im Webpanel beworbenen Anti-Analyse- und Tarnfunktionen des Stealers sind nach wie vor sehr rudimentär und amateurhaft; lediglich die Drittanbieter-Payload für den Chrome-Entschlüsseler ist einigermaßen versteckt“, schrieb Milan Spinka von Rapid7.
Das Partnerportal von SantaStealer ist benutzerfreundlich gestaltet. Betreiber können ihre Builds individuell anpassen und entweder alle Daten stehlen oder sich nur auf Wallet- und Browserdaten konzentrieren. Die Optionen ermöglichen es ihnen außerdem, diedent Staaten auszuschließen und die Ausführung zu verzögern.
SantaStealer hat sich noch nicht flächendeckend verbreitet, und seine Verbreitungsmethode ist weiterhin unklar. Aktuelle Kampagnen setzen bevorzugt auf ClickFix-Angriffe, da die Opfer dazu verleitet werden, schädliche Befehle in Windows-Terminals einzufügen.
Laut den Forschern sind andere Verbreitungswege für Schadsoftware weiterhin verbreitet. Dazu gehören Phishing-E-Mails, Raubkopien, Torrents, Malvertisingund irreführende YouTube-Kommentare.
Sicherheitsforscher raten Krypto-Nutzern zur Wachsamkeit und dazu, unbekannte Links und Anhänge zu meiden.
Spinka schrieb: „Vermeiden Sie es, jeglichen nicht verifizierten Code aus Quellen wie Raubkopien, Videospiel-Cheats, nicht verifizierten Plugins und Erweiterungen auszuführen.“
