SantaStealerは、暗号資産ウォレットを標的とする新たな情報窃取マルウェアです。このマルウェア・アズ・ア・サービス(MaaS)は、あらゆる種類の暗号資産に紐づく個人データをtrac。
Rapid7の研究者によると、SantaStealerはBluelineStealerという別のインフォスティーラーのリブランド版です。SantaStealerの開発者は、年末までにさらに広範囲に展開する準備を進めていると噂されています。
現在、このマルウェアはTelegramやハッカーフォーラムで宣伝されており、サブスクリプションサービスとして提供されています。ベーシックアクセスは月額175ドル、プレミアムアクセスはより高額で300ドルです。
SantaStealer マルウェアの開発者は、ウイルス対策のバイパスと企業ネットワークへのアクセスを備えたエンタープライズ レベルの機能を備えていると主張しています。
SantaStealerが暗号通貨ウォレットを標的に
SantaStealerの主な標的は暗号資産ウォレットです。このマルウェアは、Exodusのような暗号資産ウォレットアプリやMetaMaskのようなブラウザ拡張機能を標的としており、デジタル資産に紐付けられた個人データをtracように設計されています。
このマルウェアの攻撃はそれだけにとどまりません。パスワード、Cookie、閲覧履歴、保存されたクレジットカード情報など、ブラウザのデータも盗み取ります。TelegramやDiscordといったメッセージングプラットフォームも の データやローカルドキュメントも対象です。さらに、デスクトップのスクリーンショットをキャプチャすることも可能です。
これを行うために、埋め込まれた実行ファイルをドロップまたはロードします。この実行ファイルは暗号を復号し、ブラウザにコードを挿入します。これにより、保護されたキーへのアクセスが可能になります。
SantaStealerは多数のデータ収集モジュールを同時に実行します。各モジュールは独自のスレッドで動作します。窃取されたデータはメモリに書き込まれ、ZIPファイルに圧縮された後、10MB単位に分割されて外部に持ち出されます。データはポート6767を介して、ハードコードされたコマンドアンドコントロールサーバーに送信されます。
に保存されているウォレットデータにアクセスするために ブラウザ、このマルウェアは2024年7月に導入されたChromeのアプリベース暗号化を回避します。Rapid7によると、すでに複数の情報窃盗犯がこの暗号化を突破しているとのことです。
このマルウェアは高度な技術を持ち、完全な回避機能を備えていると宣伝されています。しかし、Rapid7のセキュリティ研究者は、このマルウェアはそのような主張には当てはまらないと述べています。現在のサンプルは解析が容易で、シンボルや判読可能な文字列が露出しています。これは、開発が急ピッチで進められ、運用上のセキュリティが脆弱であることを示唆しています。
「ウェブパネルで宣伝されているスティーラーの分析回避機能とステルス機能は、非常に基本的で素人っぽいままで、サードパーティのChrome復号化ペイロードだけがいくらか隠されている」とRapid7のMilan Spinka氏は書いている。
SantaStealerのアフィリエイトパネルは洗練されています。オペレーターはビルドをカスタマイズでき、すべてのデータを盗むことも、ウォレットとブラウザデータのみを狙うことも可能です。また、独立dent 共同体(CIS)地域を除外したり、実行を遅らせたりするオプションも用意されています。
SantaStealerはまだ大規模に拡散しておらず、その拡散方法は依然として不明です。最近の攻撃では、被害者がWindows端末に悪意のあるコマンドを貼り付けるように仕向けるClickFix攻撃が好まれています。
研究者によると、他のマルウェアの配信経路も依然として一般的であり、フィッシングメール、海賊版ソフトウェア、トレント、 マルバタイジング、YouTubeの偽コメントなどが含まれます。
セキュリティ研究者は、暗号通貨ユーザーに対し、警戒を怠らず、不明なリンクや添付ファイルを避けるようアドバイスしている。
Spinka 氏は、「海賊版ソフトウェア、ビデオゲームのチート、未検証のプラグイン、拡張機能など、あらゆる種類の未検証コードの実行は避けてください」と書いています。
