SantaStealer se centra en las billeteras de criptomonedas como objetivo principal

SantaStealer es un nuevo malware que roba información y ataca las billeteras de criptomonedas. Este malware como servicio (MaaS)tracdatos privados vinculados a cualquier tipo de criptomoneda.

Los investigadores de Rapid7 afirman que SantaStealer es una nueva marca de otro ladrón de información llamado BluelineStealer. Se rumorea que el desarrollador de SantaStealer está preparando un lanzamiento más amplio antes de que acabe el año.

Actualmente, el malware se anuncia en Telegram y foros de hackers, y se ofrece como servicio de suscripción. El acceso básico cuesta $175 al mes, mientras que el acceso Premium es más caro y cuesta $300.

Los desarrolladores del malware SantaStealer afirman tener capacidad a nivel empresarial con evasiones de antivirus y acceso a la red corporativa.

SantaStealer se centra en las billeteras de criptomonedas

Las billeteras de criptomonedas son el principal objetivo de SantaStealer. El malware ataca aplicaciones de billeteras de criptomonedas como Exodus y extensiones de navegador como MetaMask. Está diseñado paratracdatos privados vinculados a activos digitales.

El malware no se detiene ahí. También roba datos del navegador, incluyendo contraseñas, cookies, historial de navegación e información de tarjetas de crédito guardada. Plataformas de mensajería como Telegram y Discord también son objetivo del ataque. Se incluyen datos de Steam y documentos locales. El malware también puede capturar capturas de pantalla del escritorio.

Para ello, descarga o carga un ejecutable incrustado. Este ejecutable descifra e inyecta código en el navegador. Esto permite acceder a claves protegidas.

SantaStealer ejecuta simultáneamente varios módulos de recopilación de datos. Cada módulo opera en su propio hilo. Los datos robados se escriben en memoria, se comprimen en archivos ZIP y se extraen en fragmentos de 10 MB. Los datos se envían a un servidor de comando y control codificado a través del puerto 6767.

Para acceder a los datos de la cartera almacenados en los navegadores, el malware elude el cifrado vinculado a la aplicación de Chrome, que se introdujo en julio de 2024. Según Rapid7, varios ciberdelincuentes ya lo han burlado.

El malware se comercializa como avanzado y con total evasión. Sin embargo, los investigadores de seguridad de Rapid7 afirman que no cumple con estas afirmaciones. Las muestras actuales son fáciles de analizar y exponen símbolos y cadenas legibles. Esto sugiere un desarrollo apresurado y una seguridad operativa deficiente.

“Las capacidades antianálisis y sigilo del ladrón anunciado en el panel web siguen siendo muy básicas y amateurs, y solo la carga útil del descifrador de Chrome de terceros está algo oculta”, escribió Milan Spinka de Rapid7.

El panel de afiliados de SantaStealer está optimizado. Los operadores pueden personalizar las compilaciones y robar todo o centrarse solo en los datos de la billetera y el navegador. Las opciones también permiten a los operadores excluir la región de la Comunidad de Estadosdent (CEI) y retrasar la ejecución.

SantaStealer aún no se ha propagado a gran escala y su método de propagación sigue siendo incierto. Campañas recientes favorecen los ataques ClickFix, ya que engañan a las víctimas para que peguen comandos maliciosos en terminales de Windows.

Según los investigadores, otras vías de distribución de malware siguen siendo comunes, como correos electrónicos de phishing, software pirateado, torrents, publicidad maliciosay comentarios engañosos en YouTube.

Los investigadores de seguridad aconsejan a los usuarios de criptomonedas que se mantengan alerta y eviten enlaces y archivos adjuntos desconocidos.

Spinka escribió: “Evite ejecutar cualquier tipo de código no verificado proveniente de fuentes como software pirateado, trucos de videojuegos, complementos y extensiones no verificados”.