SantaStealer est un nouveau logiciel malveillant de vol d'informations ciblant les portefeuilles de cryptomonnaies. Ce logiciel, proposé en tant que service (MaaS),tracles données privées liées à tout type de cryptomonnaie.
Selon les chercheurs de Rapid7, SantaStealer est une version renommée d'un autre logiciel espion, BluelineStealer. Le développeur de SantaStealer préparerait un lancement plus large avant la fin de l'année.
Actuellement, ce logiciel malveillant est proposé sur Telegram et sur des forums de hackers, sous forme d'abonnement. L'accès de base coûte 175 $ par mois, tandis que l'accès Premium, plus onéreux, coûte 300 $.
Les développeurs du logiciel malveillant SantaStealer affirment qu'il possède des capacités de niveau entreprise, permettant de contourner les antivirus et d'accéder aux réseaux d'entreprise.
SantaStealer cible les portefeuilles de cryptomonnaies
Les portefeuilles de cryptomonnaies sont la cible principale de SantaStealer. Ce logiciel malveillant vise les applications de portefeuille de cryptomonnaies comme Exodus et les extensions de navigateur comme MetaMask. Il est conçu pourtracles données privées liées aux actifs numériques.
Le logiciel malveillant ne s'arrête pas là. Il vole également les données du navigateur, notamment les mots de passe, les cookies, l'historique de navigation et les informations de carte bancaire enregistrées. Les plateformes de messagerie telles que Telegram et Discord sont également ciblées. Les données Steam et les documents locaux sont aussi concernés. Le logiciel malveillant peut également effectuer des captures d'écran du bureau.
Pour ce faire, il dépose ou charge un fichier exécutable intégré. Ce fichier déchiffre et injecte du code dans le navigateur, permettant ainsi d'accéder aux clés protégées.
SantaStealer exécute simultanément plusieurs modules de collecte de données. Chaque module fonctionne dans son propre thread. Les données volées sont écrites en mémoire, compressées dans des fichiers ZIP, puis exfiltrées par blocs de 10 Mo. Elles sont ensuite envoyées à un serveur de commande et de contrôle intégré au système via le port 6767.
Pour accéder aux données de portefeuille stockées dans les navigateurs, le logiciel malveillant contourne le chiffrement lié aux applications de Chrome, introduit en juillet 2024. Selon Rapid7, plusieurs voleurs d'informations l'ont déjà contourné.
Ce logiciel malveillant est présenté comme étant sophistiqué et capable d'échapper totalement aux attaques. Or, selon les chercheurs en sécurité de Rapid7, il ne correspond pas à ces affirmations. Les échantillons actuels sont faciles à analyser et révèlent des symboles et des chaînes de caractères lisibles, ce qui laisse supposer un développement précipité et une sécurité opérationnelle insuffisante.
« Les capacités anti-analyse et de furtivité du voleur annoncées sur le panneau web restent très rudimentaires et amateurs, seule la charge utile de décryptage Chrome tierce étant quelque peu dissimulée », a écrit Milan Spinka de Rapid7.
L'interface d'administration de SantaStealer est très bien conçue. Les opérateurs peuvent personnaliser les configurations et choisir de voler toutes les données ou de se concentrer uniquement sur les données du portefeuille et du navigateur. Les options permettent également d'exclure la Communauté des Étatsdent (CEI) et de différer l'exécution.
SantaStealer ne s'est pas encore propagé à grande échelle et son mode de diffusion reste inconnu. Les campagnes récentes privilégient les attaques ClickFix, car les victimes sont amenées à coller des commandes malveillantes dans des terminaux Windows.
D'après les chercheurs, d'autres vecteurs de diffusion de logiciels malveillants restent courants. Il s'agit notamment des courriels d'hameçonnage, des logiciels piratés, des torrents, des publicités malveillanteset des commentaires trompeurs sur YouTube.
Les experts en sécurité conseillent aux utilisateurs de cryptomonnaies de rester vigilants et d'éviter les liens et pièces jointes inconnus.
Spinka a écrit : « Évitez d'exécuter tout type de code non vérifié provenant de sources telles que des logiciels piratés, des codes de triche pour jeux vidéo, des plugins et des extensions non vérifiés. »
