SantaStealer는 암호화폐 지갑을 표적으로 삼는 새로운 정보 탈취 악성 프로그램입니다. 서비스형 악성 프로그램(MaaS) 형태로 제공되는 이 프로그램은 모든 종류의 암호화폐와 관련된 개인 데이터를trac.
Rapid7의 연구원들은 SantaStealer가 BluelineStealer라는 또 다른 정보 탈취 악성 프로그램의 리브랜딩이라고 밝혔습니다. SantaStealer 개발사는 올해 말 이전에 더 광범위한 출시를 준비하고 있다는 소문이 있습니다.
현재 해당 악성 소프트웨어는 텔레그램과 해커 포럼에서 광고되고 있으며, 구독 서비스 형태로 제공되고 있습니다. 기본 이용권은 월 175달러이고, 프리미엄 이용권은 더 비싼 300달러입니다.
SantaStealer 악성코드 개발자들은 안티바이러스 우회 및 기업 네트워크 접근을 통해 기업 수준의 기능을 제공한다고 주장합니다.
SantaStealer는 암호화폐 지갑을 공격 대상으로 삼습니다.
SantaStealer는 암호화폐 지갑을 주요 공격 대상으로 삼습니다. 이 악성 프로그램은 Exodus와 같은 암호화폐 지갑 앱과 MetaMask와 같은 브라우저 확장 프로그램을 표적으로 삼으며, 디지털 자산과 관련된 개인 정보를trac도록 설계되었습니다.
이 악성 프로그램은 여기서 멈추지 않습니다. 비밀번호, 쿠키, 검색 기록, 저장된 신용카드 정보 등 브라우저 데이터도 훔쳐갑니다. 텔레그램 , 디스코드와 같은 메시징 플랫폼도 공격 대상입니다. 스팀 데이터와 로컬 문서도 포함됩니다. 또한 바탕화면 스크린샷을 캡처할 수도 있습니다.
이를 위해 악성 프로그램은 내장 실행 파일을 드롭하거나 로드합니다. 해당 실행 파일은 암호를 해독하고 브라우저에 코드를 삽입합니다. 이렇게 하면 보호된 키에 접근할 수 있게 됩니다.
SantaStealer는 여러 데이터 수집 모듈을 동시에 실행합니다. 각 모듈은 자체 스레드에서 작동합니다. 탈취된 데이터는 메모리에 기록되고, ZIP 파일로 압축된 후 10MB 단위로 유출됩니다. 데이터는 하드코딩된 명령 및 제어 서버로 6767번 포트를 통해 전송됩니다.
에 저장된 지갑 데이터에 접근하기 위해 브라우저, 이 악성 프로그램은 2024년 7월에 도입된 크롬의 앱 바인딩 암호화(App-Bound Encryption)를 우회합니다. Rapid7에 따르면, 이미 여러 정보 탈취 악성 프로그램이 이 기능을 무력화했습니다.
해당 악성 소프트웨어는 완벽한 회피 기능을 갖춘 고도화된 기술이라고 홍보되고 있습니다. 그러나 Rapid7 보안 연구원들은 해당 악성 소프트웨어가 이러한 주장과 일치하지 않는다고 밝혔습니다. 현재 공개된 샘플들은 분석이 용이하며, 해독 가능한 기호와 문자열을 노출하고 있습니다. 이는 개발이 서둘러 진행되었고 운영 보안이 취약했음을 시사합니다.
"웹 패널에 광고된 스틸러의 분석 방지 및 은밀 기능은 매우 기본적인 수준에 머물러 있으며, 타사 Chrome 복호화 페이로드만 어느 정도 숨겨져 있을 뿐입니다."라고 Rapid7의 밀란 스핀카는 썼습니다.
SantaStealer의 제휴 패널은 매우 정교합니다. 운영자는 빌드를 맞춤 설정할 수 있으며, 모든 데이터를 탈취하거나 지갑 및 브라우저 데이터에만 집중할 수 있습니다. 또한dent 국가연합(CIS) 지역을 제외하고 실행 시간을 지연시키는 옵션도 제공됩니다.
SantaStealer는 아직 대규모로 확산되지 않았으며, 유포 방식도 불분명합니다. 최근 공격 사례는 ClickFix를 이용한 공격이 주를 이루는데, 이는 피해자들이 악성 명령어를 윈도우 터미널에 붙여넣도록 유도하기 때문입니다.
연구원들에 따르면, 다른 악성코드 유포 경로도 여전히 흔하게 사용됩니다. 여기에는 피싱 이메일, 불법 복제 소프트웨어, 토렌트, 악성 광고, 그리고 허위 유튜브 댓글 등이 포함됩니다.
보안 연구원들은 암호화폐 사용자들에게 경계를 늦추지 말고 알 수 없는 링크와 첨부 파일을 피하라고 조언합니다.
스핀카는 "불법 복제 소프트웨어, 비디오 게임 치트, 검증되지 않은 플러그인 및 확장 프로그램과 같은 출처에서 제공되는 검증되지 않은 코드는 절대 실행하지 마십시오."라고 썼습니다.
