SantaStealer сосредоточила свою деятельность на криптовалютных кошельках как на основной цели.

SantaStealer — это новая вредоносная программа, предназначенная для кражи информации и нацеленная на криптокошельки. Эта вредоносная программа, предоставляемая как услуга (MaaS),tracконфиденциальные данные, связанные с любыми типами криптовалют.

Исследователи из Rapid7 утверждают, что SantaStealer — это ребрендинг другого сервиса по краже информации под названием BluelineStealer. Ходят слухи, что разработчик SantaStealer готовится к более широкому запуску до конца года.

В настоящий момент вредоносная программа рекламируется в Telegram и на хакерских форумах и предлагается по подписке. Базовый доступ стоит 175 долларов в месяц, а премиум-доступ — 300 долларов.

Разработчики вредоносного ПО SantaStealer заявляют о возможностях корпоративного уровня, включая обход антивирусных программ и доступ к корпоративной сети.

SantaStealer нацелен на криптовалютные кошельки

Основная цель SantaStealer — криптокошельки. Вредоносная программа нацелена на приложения-криптокошельки, такие как Exodus, и расширения для браузеров, например MetaMask. Она предназначена дляtracконфиденциальных данных, связанных с цифровыми активами.

На этом вредоносная программа не останавливается. Она также крадет данные браузера, включая пароли, файлы cookie, историю просмотров и сохраненную информацию о кредитных картах. Целями атаки становятся и мессенджеры, такие как Telegram и Discord. Включаются данные Steam и локальные документы. Вредоносная программа также может делать снимки экрана рабочего стола.

Для этого система внедряет или загружает исполняемый файл. Этот исполняемый файл расшифровывает и внедряет код в браузер. Это позволяет получить доступ к защищенным ключам.

SantaStealer одновременно запускает множество модулей сбора данных. Каждый модуль работает в собственном потоке. Украденные данные записываются в память, сжимаются в ZIP-файлы и извлекаются порциями по 10 МБ. Данные отправляются на жестко запрограммированный сервер управления и контроля через порт 6767.

Чтобы получить доступ к данным кошелька, хранящимся в браузерах, вредоносная программа обходит технологию шифрования приложений Chrome (App-Bound Encryption), которая была введена в июле 2024 года. По данным Rapid7, нескольким злоумышленникам уже удалось её обойти.

Вредоносная программа позиционируется как продвинутая и полностью обходная. Однако исследователи безопасности из Rapid7 утверждают, что она не соответствует этим заявлениям. Текущие образцы легко анализируются и содержат символы и читаемые строки. Это говорит о поспешной разработке и слабой операционной безопасности.

«Возможности программы для защиты от анализа и скрытного доступа, рекламируемой в веб-панели, остаются очень примитивными и непрофессиональными, и лишь сторонний дешифратор Chrome хоть как-то замаскирован», — написал Милан Спинка из Rapid7.

Партнерская панель SantaStealer отполирована до мелочей. Операторы могут настраивать сборки, красть все данные или сосредотачиваться только на данных кошелька и браузера. Также доступны опции, позволяющие исключить регион Содружестваdent Штатов Америки (СНГ) и отложить исполнение ордеров.

Вредоносная программа SantaStealer пока не получила широкого распространения, и способ её распространения остаётся неясным. В последних кампаниях чаще всего используются атаки ClickFix, поскольку жертв обманом заставляют вставлять вредоносные команды в терминалы Windows.

По словам исследователей, другие пути распространения вредоносного ПО остаются распространенными. К ним относятся фишинговые электронные письма, пиратское программное обеспечение, торренты, вредоносная рекламаи обманчивые комментарии на YouTube.

Специалисты по информационной безопасности советуют пользователям криптовалют сохранять бдительность и избегать неизвестных ссылок и вложений.

Спинка написал: «Избегайте запуска любого непроверенного кода из таких источников, как пиратское программное обеспечение, читы для видеоигр, непроверенные плагины и расширения».