SantaStealer ahora está atacando billeteras de criptomonedas - Coinfea

Los investigadores han revelado que un nuevo malware, SantaStealer, ahora está atacando billeteras de criptomonedas. El malware-como-servicio (MaaS) extrae datos privados vinculados a cualquier tipo de criptomoneda.

Los investigadores de Rapid7 dicen que SantaStealer es un rebranding de otro infostealer llamado BluelineStealer. Se rumorea que el desarrollador de SantaStealer está preparando un lanzamiento más amplio antes de que termine el año. En este momento, el malware se publicita en Telegram y en foros de hackers, y se ofrece como un servicio de suscripción. El acceso básico cuesta $175 al mes, mientras que el acceso Premium es más caro y cuesta $300. Los desarrolladores del malware SantaStealer afirman tener capacidades a nivel empresarial con bypasses de antivirus y acceso a redes corporativas.

SantaStealer ahora roba datos privados de las billeteras

SantaStealer se centra básicamente en las billeteras de criptomonedas, con el malware apuntando a aplicaciones de billeteras de criptomonedas como Exodus y extensiones de navegador como MetaMask. Está diseñado para extraer datos privados vinculados a activos digitales. El malware no se detiene allí, ya que también roba datos del navegador, incluyendo contraseñas, cookies, historial de navegación e información de tarjetas de crédito guardadas.

Las plataformas de mensajería como Telegram y Discord también son objetivo. Los datos de Steam y documentos locales están incluidos. El malware también puede capturar capturas de pantalla del escritorio. Para hacer esto, suelta o carga un ejecutable incrustado. Ese ejecutable descifra e inyecta código en el navegador. Esto permite el acceso a claves protegidas. SantaStealer también ejecuta muchos módulos de recopilación de datos simultáneamente.

Cada módulo opera en su propio hilo. Los datos robados se escriben en la memoria, se comprimen en archivos ZIP y se exfiltran en fragmentos de 10MB. Los datos se envían a un servidor de comando y control codificado en duro a través del puerto 6767. Para acceder a los datos de la billetera almacenados en los navegadores, el malware elude la Encriptación Basada en Aplicaciones de Chrome, que se introdujo en julio de 2024. Según Rapid7, múltiples ladrones de información ya la han derrotado.

El malware se comercializa como avanzado, con evasión total. Pero los investigadores de seguridad de Rapid7 dicen que el malware no coincide con esas afirmaciones. Las muestras actuales son fáciles de analizar y exponen símbolos y cadenas legibles. Esto sugiere un desarrollo apresurado y una débil seguridad operativa. “Las capacidades de anti-análisis y sigilo del ladrón anunciadas en el panel web siguen siendo muy básicas y amateur, con solo la carga útil del descifrador de Chrome de terceros siendo algo oculta”, escribió Milan Spinka de Rapid7.

El panel de afiliados de SantaStealer está pulido. Los operadores pueden personalizar construcciones, y pueden robar todo o centrarse solo en datos de billetera y navegador. Las opciones también permiten a los operadores excluir la región de la Comunidad de Estados Independientes (CIS) y retrasar la ejecución. SantaStealer aún no se ha propagado a gran escala, y su método de entrega sigue siendo poco claro. Las campañas recientes favorecen los ataques ClickFix ya que las víctimas son engañadas para pegar comandos maliciosos en terminales de Windows.