SantaStealer 现在以加密钱包为目标 - Coinfea

研究人员揭示了一种新的恶意软件SantaStealer，目前正在针对加密钱包。作为服务的恶意软件(MaaS)提取与任何类型的加密相关的私密数据。

Rapid7的研究人员表示，SantaStealer是另一种信息窃取者BluelineStealer的重新品牌。SantaStealer的开发者 rumored正在准备在年末之前进行更大规模的发布。目前，该恶意软件在Telegram和黑客论坛上进行宣传，并作为订阅服务提供。基本访问费用为$175 每月，而高级访问则更贵，费用为300美元。SantaStealer恶意软件的开发者声称具备企业级能力，可以绕过杀毒软件并访问企业网络。

SantaStealer 现在从钱包中窃取私人数据

SantaStealer 基本上专注于加密钱包，恶意软件针对像 Exodus 这样的加密钱包应用程序以及像 MetaMask 这样的浏览器扩展。它旨在提取与数字资产相关的私密数据。恶意软件不仅仅止于此，它还窃取浏览器数据，包括密码、Cookies、浏览历史和保存的信用卡信息。

像Telegram和Discord这样的消息平台也受到攻击。Steam数据和本地文档被包含在内。恶意软件还可以捕获桌面截图。为此，它会丢弃或加载一个嵌入的可执行文件。该可执行文件解密并将代码注入浏览器。这使得能够访问受保护的密钥。SantaStealer还同时运行许多数据收集模块。

每个模块在自己的线程中运行。被盗数据被写入内存，压缩成ZIP文件，并以10MB的块进行外泄。这些数据通过6767端口发送到硬编码的指挥控制服务器。为了访问存储在浏览器中的钱包数据，恶意软件绕过了Chrome的应用绑定加密，该加密是在2024年7月引入的。根据Rapid7的说法，多个信息窃取者已经成功绕过了它。

恶意软件被宣传为先进且具有完全规避能力。但Rapid7的安全研究人员表示，这款恶意软件并不符合这些说法。目前的样本易于分析，且暴露了符号和可读字符串。这表明开发匆忙且运营安全性薄弱。“在网络面板中宣传的窃取者的反分析和隐蔽能力仍然非常基础和业余，只有第三方Chrome解密负载稍微隐藏，”Rapid7的米兰·斯平卡（Milan Spinka）写道。

SantaStealer的联盟面板经过打磨。运营商可以自定义构建，他们可以窃取所有内容或只专注于钱包和浏览器数据。这些选项还允许运营商排除独立国家联合体（CIS）(区域并延迟执行。SantaStealer尚未大规模传播，其传播方式仍不明确。最近的活动更倾向于ClickFix攻击，因为受害者被诱骗在Windows终端中粘贴恶意命令。