SantaStealer теперь нацеливается на криптовалютные кошельки - Coinfea

Исследователи раскрыли, что новый вредоносные программы, SantaStealer, теперь нацелены на криптовалютные кошельки. Вредоносные программы как услуга (MaaS) извлекает личные данные, связанные с любым типом криптовалюты.

Исследователи из Rapid7 утверждают, что SantaStealer является ребрендингом другого инфостилера под названием BluelineStealer. Разработчик SantaStealer, как сообщается, готовит более широкую версию к запуску до конца года. В данный момент вредоносные программы рекламируются в Telegram и на хакерских форумах и предлагаются в виде подписки. Базовый доступ стоит $175 в месяц, в то время как Премиум доступ дороже и стоит 300 долларов. Разработчики вредоносных программ SantaStealer утверждают о возможностях на уровне предприятий с обходом антивирусов и доступом к корпоративным сетям.

SantaStealer теперь крадет личные данные из кошельков

SantaStealer в основном нацелен на крипто-кошельки, при этом вредоносные программы нацелены на приложения крипто-кошельков, такие как Exodus, и расширения браузера, такие как MetaMask. Он предназначен для извлечения личных данных, связанных с цифровыми активами. Вредоносные программы не останавливаются на этом, так как они также крадут данные браузера, включая пароли, куки, историю просмотров и сохраненную информацию о кредитных картах.

Мессенджеры, такие как Telegram и Discord, также являются целями. Данные Steam и локальные документы включены. Вредоносные программы могут также захватывать скриншоты рабочего стола. Для этого она сбрасывает или загружает встроенный исполняемый файл. Этот исполняемый файл расшифровывает и внедряет код в браузер. Это позволяет получить доступ к защищенным ключам. SantaStealer также одновременно запускает множество модулей сбора данных.

Каждый модуль работает в своем собственном потоке. Украденные данные записываются в память, сжимаются в ZIP-файлы и эксфильтруются порциями по 10 МБ. Данные отправляются на жестко закодированный сервер управления и контроля через порт 6767. Чтобы получить доступ к данным кошелька, хранящимся в браузерах, вредоносные программы обходят шифрование приложений Chrome, которое было введено в июле 2024 года. Согласно Rapid7, несколько программ для кражи информации уже преодолели его.

Вредоносные программы рекламируются как продвинутые, с полной уклончивостью. Но исследователи безопасности Rapid7 утверждают, что вредоносные программы не соответствуют этим заявлениям. Текущие образцы легко анализировать, и они раскрывают символы и читаемые строки. Это предполагает спешную разработку и слабую операционную безопасность. “Антианализ и способности скрытности кражи, рекламируемые в веб-панели, остаются очень базовыми и любительскими, с тем, что только сторонний загрузчик для Chrome является несколько скрытым,” написал Милан Шпинка из Rapid7.

Партнёрская панель SantaStealer отшлифована. Операторы могут настраивать сборки, и они могут красть всё или сосредоточиться только на данных кошелька и браузера. Опции также позволяют операторам исключать регион Содружества Независимых Государств (CIS) и задерживать выполнение. SantaStealer пока ещё не распространился в больших масштабах, и его метод доставки остается неясным. Последние кампании предпочитают атаки ClickFix, так как жертвы обманываются и вставляют вредоносные команды в терминалы Windows.