SantaStealer mira em carteiras de criptomoedas como seu principal alvo.

SantaStealer é um novo malware para roubo de informações que tem como alvo carteiras de criptomoedas. Este malware como serviço (MaaS)tracdados privados vinculados a qualquer tipo de criptomoeda.

Pesquisadores da Rapid7 afirmam que o SantaStealer é uma versão renomeada de outro programa de roubo de informações chamado BluelineStealer. Há rumores de que o desenvolvedor do SantaStealer esteja preparando um lançamento mais amplo antes do final do ano.

Atualmente, o malware está sendo anunciado no Telegram e em fóruns de hackers, e oferecido como um serviço de assinatura. O acesso básico custa US$ 175 por mês, enquanto o acesso Premium é mais caro e custa US$ 300.

Os desenvolvedores do malware SantaStealer alegam que ele possui capacidade de nível empresarial, com recursos para burlar antivírus e acessar redes corporativas.

O SantaStealer tem como alvo carteiras de criptomoedas.

As carteiras de criptomoedas são o principal alvo do SantaStealer. O malware tem como alvo aplicativos de carteira de criptomoedas como o Exodus e extensões de navegador como o MetaMask. Ele foi projetado paratracdados privados vinculados a ativos digitais.

O malware não para por aí. Ele também rouba dados do navegador, incluindo senhas, cookies, histórico de navegação e informações de cartão de crédito salvas. Plataformas de mensagens como Telegram e Discord também são visadas. Dados do Steam e documentos locais também são afetados. O malware pode ainda capturar screenshots da área de trabalho.

Para isso, ele instala ou carrega um executável embutido. Esse executável descriptografa e injeta código no navegador. Isso permite o acesso a chaves protegidas.

O SantaStealer executa vários módulos de coleta de dados simultaneamente. Cada módulo opera em sua própria thread. Os dados roubados são gravados na memória, compactados em arquivos ZIP e exfiltrados em blocos de 10 MB. Os dados são enviados para um servidor de comando e controle fixo na porta 6767.

Para acessar os dados da carteira armazenados nos navegadores, o malware burla a criptografia vinculada ao aplicativo do Chrome, que foi introduzida em julho de 2024. De acordo com a Rapid7, vários ladrões de informações já conseguiram decifrá-lo.

O malware é comercializado como avançado, com capacidade total de evasão. No entanto, pesquisadores de segurança da Rapid7 afirmam que o malware não corresponde a essas alegações. As amostras atuais são fáceis de analisar e expõem símbolos e sequências legíveis. Isso sugere um desenvolvimento apressado e uma segurança operacional frágil.

“As capacidades anti-análise e de ocultação do programa anunciado no painel da web permanecem muito básicas e amadoras, com apenas o payload do decodificador de terceiros para Chrome sendo minimamente disfarçado”, escreveu Milan Spinka, da Rapid7.

O painel de afiliados do SantaStealer é refinado. Os operadores podem personalizar as configurações e roubar tudo ou focar apenas nos dados da carteira e do navegador. As opções também permitem que os operadores excluam a região da Comunidade dos Estadosdent (CEI) e atrasem a execução.

O SantaStealer ainda não se espalhou em larga escala e seu método de distribuição permanece incerto. Campanhas recentes têm priorizado ataques ClickFix, nos quais as vítimas são enganadas para colar comandos maliciosos em terminais do Windows.

Segundo os pesquisadores, outras formas de distribuição de malware continuam sendo comuns. Entre elas, estão e-mails de phishing, softwares piratas, torrents, malvertisinge comentários enganosos no YouTube.

Especialistas em segurança aconselham os usuários de criptomoedas a permanecerem alertas e evitarem links e anexos desconhecidos.

Spinka escreveu: "Evite executar qualquer tipo de código não verificado proveniente de fontes como software pirata, cheats de videogames, plugins não verificados e extensões."