SantaStealer está agora a atacar carteiras de criptomoedas - Coinfea

Pesquisadores revelaram que um novo malware, SantaStealer, está agora a almejar carteiras de criptomoedas. O malware como serviço (MaaS) extrai dados privados relacionados a qualquer tipo de cripto.

Pesquisadores da Rapid7 afirmam que o SantaStealer é uma rebranding de outro infostealer chamado BluelineStealer. O desenvolvedor do SantaStealer está supostamente se preparando para um lançamento mais amplo antes do final do ano. No momento, o malware está sendo anunciado no Telegram e em fóruns de hackers, e oferecido como um serviço de assinatura. O acesso básico custa $175 por mês, enquanto o acesso Premium é mais caro e custa $300. Os desenvolvedores do malware SantaStealer afirmam ter capacidade em nível empresarial com desvios de antivírus e acesso a redes corporativas.

SantaStealer agora rouba dados privados de carteiras

O SantaStealer foca basicamente em carteiras de criptomoedas, com o malware a direcionar-se a aplicações de carteiras de criptomoedas como a Exodus e extensões de navegador como a MetaMask. Está projetado para extrair dados privados ligados a ativos digitais. O malware não para por aí, pois também rouba dados do navegador, incluindo senhas, cookies, histórico de navegação e informações de cartões de crédito guardadas.

As plataformas de mensagens, como o Telegram e o Discord, também são alvo. Dados do Steam e documentos locais estão incluídos. O malware também pode capturar capturas de ecrã do desktop. Para fazer isso, ele solta ou carrega um executável incorporado. Esse executável descriptografa e injeta código no navegador. Isso permite o acesso a chaves protegidas. O SantaStealer também executa muitos módulos de coleta de dados simultaneamente.

Cada módulo opera em sua própria thread. Dados roubados são escritos na memória, comprimidos em arquivos ZIP e exfiltrados em blocos de 10MB. Os dados são enviados para um servidor de comando e controle hardcoded pela porta 6767. Para acessar os dados da carteira armazenados nos navegadores, o malware contorna a Criptografia Baseada em Aplicativos do Chrome, que foi introduzida em julho de 2024. De acordo com a Rapid7, vários info-stealers já a derrotaram.

O malware é comercializado como avançado, com total evasão. Mas os pesquisadores de segurança da Rapid7 dizem que o malware não corresponde a essas alegações. As amostras atuais são fáceis de analisar e expõem símbolos e strings legíveis. Isso sugere um desenvolvimento apressado e uma segurança operacional fraca. “As capacidades anti-análise e de furtividade do ladrão anunciadas no painel da web permanecem muito básicas e amadoras, com apenas o payload de decryption do Chrome de terceiros sendo um pouco oculto”, escreveu Milan Spinka da Rapid7.

O painel de afiliados do SantaStealer está polido. Os operadores podem personalizar as construções, e podem roubar tudo ou focar apenas em dados de carteiras e navegadores. As opções também permitem que os operadores excluam a região da Comunidade dos Estados Independentes (CIS) e atrasem a execução. O SantaStealer ainda não se espalhou em grande escala, e seu método de entrega ainda é incerto. As campanhas recentes favorecem ataques ClickFix, uma vez que as vítimas são enganadas para colar comandos maliciosos em terminais do Windows.