Новая вредоносная программа SantaStealer крадёт данные из браузеров и криптокошельков
На Telegram-каналах и хакерских форумах рекламируется новый инструмент для кражи информации в формате «вредоносное ПО как услуга» (MaaS) под названием SantaStealer. Он работает в оперативной памяти, что позволяет избежать обнаружения на основе файлов.
По данным исследователей в области кибербезопасности из Rapid7, эта операция является ребрендингом проекта под названием BluelineStealer, и разработчик наращивает темпы работы в преддверии запланированного запуска до конца года.
Судя по всему, SantaStealer — это проект русскоязычного разработчика, который предлагает подписку Basic за 175 долларов в месяц и Premium за 300 долларов в месяц.
Реклама SantaStealer
Источник: Rapid7
Компания Rapid7 проанализировала несколько образцов SantaStealer и получила доступ к партнерской веб-панели, которая показала, что вредоносное ПО использует несколько механизмов для кражи данных, но не соответствует заявленной функции уклонения от обнаружения и анализа.
«Образцы, которые мы видели до сих пор, далеко не невозможно обнаружить или как-то сложно проанализировать», — говорится в отчёте исследователей Rapid7, опубликованном сегодня.
«Хотя не исключено, что злоумышленник, стоящий за SantaStealer, все еще разрабатывает некоторые из упомянутых методов защиты от анализа или антивирусной защиты, утечка образцов до того, как вредоносное ПО будет готово к использованию, — с именами символов и незашифрованными строками — это грубая ошибка, которая, скорее всего, сведет на нет все усилия, затраченные на разработку, и указывает на низкий уровень операционной безопасности злоумышленника (злоумышленников)», — сообщает Rapid7.
Панель имеет удобный интерфейс, с помощью которого «клиенты» могут настраивать свои сборки с учетом конкретных областей таргетинга — от полномасштабной кражи данных до сбора только определенных данных.
Параметры конфигурации конструктора на панели
Источник: Rapid7
SantaStealer использует 14 отдельных модулей для сбора данных, каждый из которых работает в своём потоке. Они записывают украденные данные в память, архивируют их в ZIP-файл, а затем отправляют по частям размером 10 МБ на жёстко запрограммированную командно-управляющую конечную точку (C2) через порт 6767.
Модули нацелены на сбор информации в браузере (пароли, файлы cookie, история просмотров, сохранённые данные кредитных карт), данных Telegram, Discord и Steam, приложений и расширений для криптовалютных кошельков, а также документов. Вредоносное ПО также может делать скриншоты рабочего стола пользователя.
Вредоносная программа использует встроенный исполняемый файл для обхода защиты Chrome от шифрования на уровне приложений, впервые введённой в июле 2024 года и обходящей множество активных программ для кражи информации.
Другие параметры конфигурации позволяют операторам исключать системы в регионе Содружества Независимых Государств (СНГ) и откладывать выполнение действий, чтобы ввести жертв в заблуждение с помощью периода бездействия.
Поскольку SantaStealer ещё не полностью готов к работе и не получил массового распространения, пока неясно, как он будет распространяться. Однако в последнее время киберпреступники, похоже, предпочитают атаки ClickFix, в ходе которых пользователей обманом заставляют вводить опасные команды в терминале Windows.
Фишинг, пиратское программное обеспечение или загрузка через торрент также являются распространёнными способами распространения, как и вредоносная реклама и вводящие в заблуждение комментарии на YouTube.
Rapid7 рекомендует пользователям проверять ссылки и вложения в электронных письмах, которые они не знают. Они также предупреждают о необходимости проверять код из общедоступных репозиториев расширений.
Редактор: AndreyEx
