SantaStealer è un nuovo malware che ruba informazioni e prende di mira i portafogli crittografici. Il malware-as-a-service (MaaS)tracdati privati collegati a qualsiasi tipo di criptovaluta.
I ricercatori di Rapid7 affermano che SantaStealer è un rebranding di un altro infostealer chiamato BluelineStealer. Si vocifera che lo sviluppatore di SantaStealer stia preparando un lancio più ampio prima della fine dell'anno.
Al momento, il malware è pubblicizzato su Telegram e sui forum degli hacker, e offerto come servizio in abbonamento. L'accesso base costa 175 dollari al mese, mentre l'accesso Premium è più costoso e costa 300 dollari.
Gli sviluppatori del malware SantaStealer dichiarano di avere capacità di livello aziendale, con bypass antivirus e accesso alla rete aziendale.
SantaStealer prende di mira i portafogli crittografici
I portafogli crittografici sono l'obiettivo principale di SantaStealer. Il malware prende di mira app di portafogli crittografici come Exodus ed estensioni del browser come MetaMask. È progettato pertracdati privati collegati alle risorse digitali.
Il malware non si ferma qui. Ruba anche i dati del browser, inclusi password, cookie, cronologia di navigazione e informazioni salvate sulle carte di credito. Vengono prese di mira anche piattaforme di messaggistica come Telegram e Discord. Sono inclusi anche i dati di Steam e i documenti locali. Il malware è in grado anche di acquisire schermate del desktop.
Per farlo, rilascia o carica un eseguibile incorporato. Tale eseguibile decifra e inietta il codice nel browser, consentendo l'accesso alle chiavi protette.
SantaStealer esegue contemporaneamente diversi moduli di raccolta dati. Ogni modulo opera nel proprio thread. I dati rubati vengono scritti in memoria, compressi in file ZIP ed esfiltrati in blocchi da 10 MB. I dati vengono inviati a un server di comando e controllo hardcoded tramite la porta 6767.
Per accedere ai dati del portafoglio memorizzati nei browser, il malware aggira la crittografia associata alle app di Chrome, introdotta nel luglio del 2024. Secondo Rapid7, diversi pirati informatici sono già riusciti a eluderla.
Il malware viene pubblicizzato come avanzato, con evasione totale. Ma i ricercatori di sicurezza di Rapid7 affermano che il malware non corrisponde a tali affermazioni. I campioni attuali sono facili da analizzare e rivelano simboli e stringhe leggibili. Ciò suggerisce uno sviluppo affrettato e una sicurezza operativa debole.
"Le capacità anti-analisi e stealth dello stealer pubblicizzato nel pannello web rimangono molto basilari e amatoriali, con solo il payload del decryptor di Chrome di terze parti in qualche modo nascosto", ha scritto Milan Spinka di Rapid7.
Il pannello di affiliazione di SantaStealer è ottimizzato. Gli operatori possono personalizzare le build e possono rubare tutto o concentrarsi solo sui dati del portafoglio e del browser. Le opzioni consentono inoltre agli operatori di escludere la regione della Comunità degli Statident (CSI) e ritardare l'esecuzione.
SantaStealer non si è ancora diffuso su larga scala e il suo metodo di distribuzione rimane poco chiaro. Le campagne recenti privilegiano gli attacchi ClickFix, poiché le vittime vengono indotte con l'inganno a incollare comandi dannosi nei terminali Windows.
Secondo i ricercatori, altri canali di distribuzione del malware rimangono comuni. Tra questi, e-mail di phishing, software pirata, torrent, malvertisinge commenti ingannevoli su YouTube.
Gli esperti di sicurezza consigliano agli utenti di criptovalute di stare attenti ed evitare link e allegati sconosciuti.
Spinka ha scritto: "Evita di eseguire qualsiasi tipo di codice non verificato proveniente da fonti come software pirata, trucchi per videogiochi, plugin ed estensioni non verificati".
