SantaStealer 現在以加密錢包爲目標 - Coinfea

研究人員揭示了一種新的惡意軟件SantaStealer，目前正在針對加密錢包。作爲服務的惡意軟件(MaaS)提取與任何類型的加密相關的私密數據。

Rapid7的研究人員表示，SantaStealer是另一種信息竊取者BluelineStealer的重新品牌。SantaStealer的開發者 rumored正在準備在年末之前進行更大規模的發布。目前，該惡意軟件在Telegram和黑客論壇上進行宣傳，並作爲訂閱服務提供。基本訪問費用爲$175 每月，而高級訪問則更貴，費用爲300美元。SantaStealer惡意軟件的開發者聲稱具備企業級能力，可以繞過殺毒軟件並訪問企業網路。

SantaStealer 現在從錢包中竊取私人數據

SantaStealer 基本上專注於加密錢包，惡意軟件針對像 Exodus 這樣的加密錢包應用程序以及像 MetaMask 這樣的瀏覽器擴展。它旨在提取與數字資產相關的私密數據。惡意軟件不僅僅止於此，它還竊取瀏覽器數據，包括密碼、Cookies、瀏覽歷史和保存的信用卡信息。

像Telegram和Discord這樣的消息平台也受到攻擊。Steam數據和本地文檔被包含在內。惡意軟件還可以捕獲桌面截圖。爲此，它會丟棄或加載一個嵌入的可執行文件。該可執行文件解密並將代碼注入瀏覽器。這使得能夠訪問受保護的密鑰。SantaStealer還同時運行許多數據收集模塊。

每個模塊在自己的線程中運行。被盜數據被寫入內存，壓縮成ZIP文件，並以10MB的塊進行外泄。這些數據通過6767端口發送到硬編碼的指揮控制服務器。爲了訪問存儲在瀏覽器中的錢包數據，惡意軟件繞過了Chrome的應用綁定加密，該加密是在2024年7月引入的。根據Rapid7的說法，多個信息竊取者已經成功繞過了它。

惡意軟件被宣傳爲先進且具有完全規避能力。但Rapid7的安全研究人員表示，這款惡意軟件並不符合這些說法。目前的樣本易於分析，且暴露了符號和可讀字符串。這表明開發匆忙且運營安全性薄弱。“在網路面板中宣傳的竊取者的反分析和隱蔽能力仍然非常基礎和業餘，只有第三方Chrome解密負載稍微隱藏，”Rapid7的米蘭·斯平卡（Milan Spinka）寫道。

SantaStealer的聯盟面板經過打磨。運營商可以自定義構建，他們可以竊取所有內容或只專注於錢包和瀏覽器數據。這些選項還允許運營商排除獨立國家聯合體（CIS）(區域並延遲執行。SantaStealer尚未大規模傳播，其傳播方式仍不明確。最近的活動更傾向於ClickFix攻擊，因爲受害者被誘騙在Windows終端中粘貼惡意命令。