SantaStealer cible désormais les portefeuilles crypto - Coinfea

Des chercheurs ont révélé qu'un nouveau malware, SantaStealer, cible désormais les portefeuilles crypto. Le malware-as-a-service (MaaS) extrait des données privées liées à tout type de crypto.

Les chercheurs de Rapid7 affirment que SantaStealer est un rebranding d'un autre infostealer appelé BluelineStealer. Le développeur de SantaStealer serait en train de préparer un lancement plus large avant la fin de l'année. Pour le moment, le malware est annoncé sur Telegram et les forums de hackers, et proposé comme un service d'abonnement. L'accès basique coûte $175 par mois, tandis que l'accès Premium est plus cher et coûte 300 $. Les développeurs du malware SantaStealer affirment avoir des capacités de niveau entreprise avec des contournements d'antivirus et un accès au réseau d'entreprise.

SantaStealer vole désormais des données privées des portefeuilles

SantaStealer se concentre principalement sur les portefeuilles crypto, le malware ciblant des applications de portefeuilles crypto comme Exodus et des extensions de navigateur comme MetaMask. Il est conçu pour extraire des données privées liées aux actifs numériques. Le malware ne s'arrête pas là, car il vole également des données de navigateur, y compris des mots de passe, des cookies, l'historique de navigation et les informations de carte de crédit enregistrées.

Les plateformes de messagerie telles que Telegram et Discord sont également ciblées. Les données de Steam et les documents locaux sont inclus. Le malware peut également capturer des captures d'écran du bureau. Pour ce faire, il dépose ou charge un exécutable intégré. Cet exécutable déchiffre et injecte du code dans le navigateur. Cela permet d'accéder à des clés protégées. SantaStealer exécute également de nombreux modules de collecte de données simultanément.

Chaque module fonctionne dans son propre thread. Les données volées sont écrites en mémoire, compressées en fichiers ZIP et exfiltrées par morceaux de 10 Mo. Les données sont envoyées à un serveur de commande et de contrôle codé en dur via le port 6767. Pour accéder aux données de portefeuille stockées dans les navigateurs, le malware contourne le chiffrement lié aux applications de Chrome, qui a été introduit en juillet 2024. Selon Rapid7, plusieurs voleurs d'informations l'ont déjà contourné.

Le malware est commercialisé comme avancé, avec une évasion totale. Mais les chercheurs en sécurité de Rapid7 affirment que le malware ne correspond pas à ces allégations. Les échantillons actuels sont faciles à analyser et exposent des symboles et des chaînes lisibles. Cela suggère un développement précipité et une sécurité opérationnelle faible. “Les capacités anti-analyse et de furtivité du voleur annoncées dans le panneau web restent très basiques et amateures, avec seulement le payload de décryptage Chrome tiers étant quelque peu caché,” a écrit Milan Spinka de Rapid7.

Le panneau d'affiliation de SantaStealer est soigné. Les opérateurs peuvent personnaliser les builds et peuvent tout voler ou se concentrer uniquement sur les données de portefeuille et de navigateur. Les options permettent également aux opérateurs d'exclure la région de la Communauté des États Indépendants (CIS) et de retarder l'exécution. SantaStealer ne s'est pas encore répandu à grande échelle, et son mode de livraison reste flou. Les campagnes récentes privilégient les attaques ClickFix, car les victimes sont trompées en collant des commandes malveillantes dans les terminaux Windows.