SantaStealer тепер націлений на криптовалютні гаманці - Coinfea

Дослідники виявили, що нові шкідливі програми, SantaStealer, тепер націлені на криптовалютні гаманці. Шкідливі програми як послуга (MaaS) витягують приватні дані, пов'язані з будь-яким типом криптовалюти.

Дослідники з Rapid7 стверджують, що SantaStealer є ребрендингом іншого інфостілера під назвою BluelineStealer. Розробник SantaStealer, за чутками, готує більш широке впровадження до кінця року. На даний момент шкідливі програми рекламуються в Telegram та на хакерських форумах, і пропонуються як підписка. Базовий доступ коштує $175 на місяць, тоді як преміум-доступ дорожчий і коштує $300. Розробники шкідливих програм SantaStealer стверджують про можливості на рівні підприємств з обходом антивірусів та доступом до корпоративних мереж.

SantaStealer тепер викрадає приватні дані з гаманців

SantaStealer в основному зосереджується на криптовалютних гаманцях, з шкідливими програмами, які націлені на додатки криптовалютних гаманців, такі як Exodus, і розширення браузера, такі як MetaMask. Він розроблений для витягнення приватних даних, пов'язаних з цифровими активами. Шкідливі програми не зупиняються на цьому, оскільки вони також викрадають дані браузера, включаючи паролі, куки, історію перегляду та збережену інформацію про кредитні картки.

Платформи обміну повідомленнями, такі як Telegram і Discord, також є ціллю. Дані Steam і локальні документи включені. Шкідливі програми також можуть захоплювати скріншоти робочого столу. Для цього вона скидає або завантажує вбудований виконуваний файл. Цей виконуваний файл розшифровує та інжектує код у браузер. Це дозволяє отримати доступ до захищених ключів. SantaStealer також одночасно запускає багато модулів збору даних.

Кожен модуль працює у своєму власному потоці. Вкрадені дані записуються в пам'ять, стискаються в ZIP-файли та виводяться у частинах по 10 МБ. Дані надсилаються на заздалегідь заданий сервер командування та контролю через порт 6767. Щоб отримати доступ до даних гаманця, що зберігаються в браузерах, шкідливі програми обходять шифрування App-Bound в Chrome, яке було введене в липні 2024 року. За даними Rapid7, кілька інформаційних крадіїв вже подолали його.

Шкідливі програми рекламуються як розвинуті, з повним ухиленням. Але дослідники з Rapid7 стверджують, що шкідливі програми не відповідають цим заявам. Поточні зразки легко аналізувати, і вони демонструють символи та читабельні рядки. Це свідчить про поспішну розробку та слабку оперативну безпеку. “Антианаліз та можливості маскування крадія, рекламовані в веб-панелі, залишаються дуже базовими та аматорськими, з єдиним стороннім завантажувачем для розшифрування Chrome, який є дещо прихованим,” написав Мілан Шпінка з Rapid7.

Панель партнерів SantaStealer відполірована. Оператори можуть налаштовувати версії, і вони можуть красти все або зосередитися лише на даних гаманців та браузерів. Варіанти також дозволяють операторам виключати регіон Співдружності Незалежних Держав (CIS) і затримувати виконання. SantaStealer ще не поширився в великому масштабі, і його метод доставки залишається невизначеним. Останні кампанії віддають перевагу атакам ClickFix, оскільки жертви вводять шкідливі команди в термінали Windows.