SantaStealerは現在、暗号ウォレットをターゲットにしています - Coinfea

研究者たちは、新しいマルウェアであるSantaStealerが暗号ウォレットをターゲットにしていることを明らかにしました。このマルウェア・アズ・ア・サービス(MaaS)は、あらゆる種類の暗号に関連するプライベートデータを抽出します。

Rapid7の研究者によると、SantaStealerはBluelineStealerという別の情報盗難ソフトのリブランドであると言われています。SantaStealerの開発者は、年末までにより広範なローンチを準備していると噂されています。現在、このマルウェアはTelegramやハッカーフォーラムで宣伝されており、サブスクリプションサービスとして提供されています。基本アクセスは$175 千円で、プレミアムアクセスはより高額で300ドルかかります。SantaStealerのマルウェア開発者は、アンチウイルスのバイパスと企業ネットワークへのアクセスを持つエンタープライズレベルの能力を主張しています。

SantaStealerは現在、ウォレットからプライベートデータを盗みます

SantaStealerは基本的に暗号ウォレットに焦点を当てており、Exodusのような暗号ウォレットアプリやMetaMaskのようなブラウザ拡張を狙ったマルウェアです。デジタル資産に関連するプライベートデータを抽出するように設計されています。このマルウェアはそれだけにとどまらず、パスワード、クッキー、ブラウジング履歴、保存されたクレジットカード情報などのブラウザデータも盗みます。

TelegramやDiscordなどのメッセージングプラットフォームもターゲットにされています。Steamデータやローカルドキュメントも含まれています。このマルウェアはデスクトップのスクリーンショットをキャプチャすることもできます。これを行うために、埋め込まれた実行可能ファイルをドロップまたはロードします。その実行可能ファイルは、コードを復号化してブラウザに注入します。これにより、保護されたキーへのアクセスが可能になります。SantaStealerは、同時に多くのデータ収集モジュールを実行します。

各モジュールは独自のスレッドで動作します。盗まれたデータはメモリに書き込まれ、ZIPファイルに圧縮され、10MBのチャンクで外部に送信されます。データはハードコーディングされたコマンド＆コントロールサーバーにポート6767を介して送信されます。ブラウザに保存されたウォレットデータにアクセスするために、マルウェアは2024年7月に導入されたChromeのアプリバウンド暗号化をバイパスします。Rapid7によると、複数の情報窃取ツールがすでにこれを破っています。

このマルウェアは、高度で完全な回避として販売されています。しかし、Rapid7のセキュリティ研究者は、このマルウェアがその主張と一致していないと述べています。現在のサンプルは分析が容易であり、シンボルや可読文字列が露呈しています。これは、開発が急いで行われ、運用セキュリティが弱いことを示唆しています。「ウェブパネルで広告されているスティーラーの逆解析および隠密機能は非常に基本的でアマチュア的であり、サードパーティのChrome暗号解除ペイロードのみがある程度隠されています」とRapid7のミラン・スピンカは書いています。

SantaStealerのアフィリエイトパネルは洗練されています。オペレーターはビルドをカスタマイズでき、すべてを盗むことも、ウォレットやブラウザデータのみに焦点を絞ることもできます。オプションにより、オペレーターは独立国家共同体(CIS)地域を除外し、実行を遅延させることも可能です。SantaStealerはまだ大規模に広がっておらず、その配信方法は不明です。最近のキャンペーンはClickFix攻撃を好む傾向があり、犠牲者は悪意のあるコマンドをWindowsターミナルに貼り付けるように騙されています。