SantaStealer يستهدف الآن محافظ التشفير - Coinfea

كشف الباحثون أن برمجيات خبيثة جديدة، SantaStealer، تستهدف الآن محافظ العملات المشفرة. البرمجيات الخبيثة كخدمة (MaaS) تستخرج البيانات الخاصة المرتبطة بأي نوع من العملات المشفرة.

يقول الباحثون في Rapid7 إن SantaStealer هو إعادة تسمية لبرنامج معلومات آخر يسمى BluelineStealer. ويشاع أن مطور SantaStealer يستعد لإطلاق أوسع قبل نهاية العام. في الوقت الحالي، يتم الإعلان عن البرمجيات الخبيثة على Telegram ومنتديات المخترقين، وتُعرض كخدمة اشتراك. تكلفة الوصول الأساسي هي $175 في الشهر، بينما الوصول المميز أغلى ويكلف 300 دولار. يدعي مطورو البرمجيات الخبيثة SantaStealer قدرة على مستوى المؤسسات مع تجاوزات مضاد الفيروسات والوصول إلى الشبكات المؤسسية.

SantaStealer الآن يسرق البيانات الخاصة من المحافظ

SantaStealer يركز أساساً على محافظ العملات المشفرة، حيث يستهدف البرمجيات الخبيثة تطبيقات محافظ العملات المشفرة مثل Exodus وإضافات المتصفح مثل MetaMask. تم تصميمه لاستخراج البيانات الخاصة المرتبطة بالأصول الرقمية. لا تتوقف البرمجيات الخبيثة عند هذا الحد، بل تسرق أيضاً بيانات المتصفح، بما في ذلك كلمات المرور، وملفات تعريف الارتباط، وسجل التصفح، ومعلومات بطاقات الائتمان المحفوظة.

تستهدف منصات المراسلة مثل تيليجرام وديسبورد أيضًا. تتضمن البيانات الخاصة بستيم والمستندات المحلية. يمكن للبرمجيات الخبيثة أيضًا التقاط لقطات شاشة لسطح المكتب. للقيام بذلك، تقوم بإسقاط أو تحميل ملف تنفيذي مدمج. يقوم هذا الملف التنفيذي بفك تشفير وإدخال التعليمات البرمجية في المتصفح. وهذا يسمح بالوصول إلى المفاتيح المحمية. كما يعمل SantaStealer على تشغيل العديد من وحدات جمع البيانات في وقت واحد.

كل وحدة تعمل في خيطها الخاص. يتم كتابة البيانات المسروقة إلى الذاكرة، وضغطها إلى ملفات ZIP، وإخراجها في قطع بحجم 10 ميغابايت. يتم إرسال البيانات إلى خادم التحكم والقيادة المبرمج مسبقًا عبر المنفذ 6767. للوصول إلى بيانات المحفظة المخزنة في المتصفحات، يتجاوز البرمجيات الخبيثة تشفير التطبيقات المقيد في Chrome، الذي تم تقديمه في يوليو 2024. وفقًا لـ Rapid7، لقد هزم العديد من سارقو المعلومات ذلك بالفعل.

تُسوّق البرمجيات الخبيثة على أنها متقدمة، مع تفادي كامل. لكن الباحثين الأمنيين في Rapid7 يقولون إن البرمجيات الخبيثة لا تتوافق مع هذه الادعاءات. العينات الحالية سهلة التحليل، وتكشف عن الرموز والسلاسل القابلة للقراءة. وهذا يشير إلى تطوير متسرع وأمن تشغيلي ضعيف. “تظل قدرات مكافحة التحليل والتخفي للسرّاق المعلن عنها في لوحة الويب أساسية وهواة جداً، مع كون حمولات فك التشفير من Chrome التابعة لجهة خارجية مخفية بشكل ما فقط،” كتب ميلان سبينكا من Rapid7.

لوحة الشركاء في SantaStealer مصقولة. يمكن للمشغلين تخصيص البنايات، ويمكنهم سرقة كل شيء أو التركيز فقط على بيانات المحفظة والمتصفح. الخيارات تسمح أيضًا للمشغلين باستبعاد منطقة الدول المستقلة (CIS) وتأخير التنفيذ. لم ينتشر SantaStealer بعد على نطاق واسع، وطريقة توصيله لا تزال غير واضحة. الحملات الأخيرة تفضل هجمات ClickFix حيث يتم خداع الضحايا لنسخ أوامر خبيثة في محطات ويندوز.