SantaStealer 将加密钱包作为主要目标。

SantaStealer 是一款新型信息窃取恶意软件，专门针对加密货币钱包。这款恶意软件即服务 (MaaS) 可以trac与任何类型的加密货币关联的私人数据。

Rapid7 的研究人员表示，SantaStealer 是另一款名为 BluelineStealer 的信息窃取软件的更名版本。据传，SantaStealer 的开发者正准备在年底前进行更大规模的推广。

目前，该恶意软件在 Telegram 和黑客论坛上进行宣传，并以订阅服务的形式提供。基础版每月收费 175 美元，高级版价格更高，每月收费 300 美元。

SantaStealer恶意软件的开发者声称其具备企业级功能，可以绕过杀毒软件并访问企业网络。

SantaStealer 的目标是加密钱包。

SantaStealer 的主要攻击目标是加密钱包。该恶意软件针对 Exodus 等加密钱包应用程序和 MetaMask 等浏览器扩展程序，旨在trac与数字资产关联的私人数据。

这款恶意软件的危害远不止于此。它还会窃取浏览器数据，包括密码、Cookie、浏览历史记录和已保存的信用卡信息。Telegram 和 Discord 等即时通讯平台 也 难逃其害。Steam 数据和本地文档也会被窃取。此外，该恶意软件还能截取桌面屏幕截图。

为此，它会投放或加载一个嵌入式可执行文件。该可执行文件会解密代码并将其注入浏览器，从而允许访问受保护的密钥。

SantaStealer 同时运行多个数据采集模块。每个模块都在独立的线程中运行。窃取的数据被写入内存，压缩成 ZIP 文件，然后以 10MB 为单位分块导出。数据通过 6767 端口发送到预先设置好的命令与控制服务器。

为了获取存储在 浏览器，该恶意软件绕过了 Chrome 于 2024 年 7 月推出的应用绑定加密。据 Rapid7 称，已有多个信息窃取程序成功破解了该加密。

该恶意软件被宣传为功能先进，能够完全规避安全威胁。但Rapid7的安全研究人员表示，该恶意软件与这些说法不符。目前的样本很容易分析，并且会暴露符号和可读字符串。这表明该恶意软件开发仓促，安全性薄弱。

Rapid7 的 Milan Spinka 写道：“网络面板中宣传的窃取程序的反分析和隐蔽功能仍然非常基础和业余，只有第三方 Chrome 解密器有效载荷被稍微隐藏了起来。”

SantaStealer 的联盟营销面板设计精良。运营者可以自定义配置，可以选择窃取所有数据，也可以只窃取钱包和浏览器数据。此外，运营者还可以选择排除dent 国家，并延迟执行攻击。

SantaStealer 尚未大规模传播，其传播方式也尚不明确。近期的攻击活动倾向于使用 ClickFix 攻击，因为受害者会被诱骗将恶意命令粘贴到 Windows 终端中。

研究人员表示，其他恶意软件传播途径仍然很常见，包括网络钓鱼邮件、盗版软件、种子文件、 恶意广告和欺骗性的 YouTube 评论。

安全研究人员建议加密货币用户保持警惕，避免点击未知链接和附件。

Spinka 写道：“避免运行任何未经验证的代码，例如来自盗版软件、电子游戏作弊程序、未经验证的插件和扩展程序等来源的代码。”