SantaStealer hiện đang nhắm vào ví tiền điện tử - Coinfea

Các nhà nghiên cứu đã tiết lộ rằng một phần mềm độc hại mới, SantaStealer, hiện đang nhắm mục tiêu vào ví tiền điện tử. Phần mềm độc hại dưới dạng dịch vụ (MaaS) trích xuất dữ liệu riêng tư liên quan đến bất kỳ loại tiền điện tử nào.

Các nhà nghiên cứu tại Rapid7 cho biết SantaStealer là một thương hiệu mới của một phần mềm độc hại khác gọi là BluelineStealer. Nhà phát triển của SantaStealer được cho là đang chuẩn bị cho một sự ra mắt rộng rãi hơn trước khi năm kết thúc. Hiện tại, phần mềm độc hại này được quảng cáo trên Telegram và các diễn đàn hacker, và được cung cấp như một dịch vụ đăng ký. Quyền truy cập cơ bản có giá $175 mỗi tháng, trong khi quyền truy cập Premium đắt hơn với giá 300 đô la. Các nhà phát triển phần mềm độc hại SantaStealer tuyên bố có khả năng ở cấp độ doanh nghiệp với khả năng vượt qua phần mềm diệt virus và truy cập vào mạng lưới doanh nghiệp.

SantaStealer hiện đang đánh cắp dữ liệu cá nhân từ ví

SantaStealer chủ yếu tập trung vào ví tiền điện tử, với phần mềm độc hại nhắm đến các ứng dụng ví tiền điện tử như Exodus và các tiện ích mở rộng trình duyệt như MetaMask. Nó được thiết kế để trích xuất dữ liệu riêng tư liên quan đến tài sản kỹ thuật số. Phần mềm độc hại không dừng lại ở đó, vì nó còn đánh cắp dữ liệu trình duyệt, bao gồm mật khẩu, cookie, lịch sử duyệt web và thông tin thẻ tín dụng đã lưu.

Các nền tảng nhắn tin như Telegram và Discord cũng bị nhắm đến. Dữ liệu Steam và tài liệu cục bộ được bao gồm. Phần mềm độc hại cũng có thể chụp ảnh màn hình máy tính. Để làm điều này, nó thả hoặc tải một tệp thực thi nhúng. Tệp thực thi đó giải mã và tiêm mã vào trình duyệt. Điều này cho phép truy cập vào các khóa được bảo vệ. SantaStealer cũng chạy nhiều mô-đun thu thập dữ liệu đồng thời.

Mỗi mô-đun hoạt động trong một luồng riêng. Dữ liệu bị đánh cắp được ghi vào bộ nhớ, nén thành các tệp ZIP và được truyền ra ngoài theo từng khối 10MB. Dữ liệu được gửi đến một máy chủ điều khiển và chỉ huy được mã hóa cứng trên cổng 6767. Để truy cập dữ liệu ví được lưu trữ trong trình duyệt, phần mềm độc hại bỏ qua Mã hóa Liên kết Ứng dụng của Chrome, được giới thiệu vào tháng 7 năm 2024. Theo Rapid7, nhiều phần mềm đánh cắp thông tin đã vượt qua nó.

Phần mềm độc hại được quảng cáo là tiên tiến, với khả năng né tránh hoàn toàn. Nhưng các nhà nghiên cứu bảo mật của Rapid7 cho biết phần mềm độc hại không phù hợp với những tuyên bố đó. Các mẫu hiện tại rất dễ phân tích, và chúng phơi bày các ký hiệu và chuỗi có thể đọc được. Điều này cho thấy việc phát triển bị vội vàng và an ninh hoạt động yếu. “Các khả năng chống phân tích và lén lút của phần mềm đánh cắp được quảng cáo trên bảng điều khiển web vẫn rất cơ bản và nghiệp dư, với chỉ payload giải mã Chrome của bên thứ ba là có phần bị ẩn đi,” Milan Spinka từ Rapid7 viết.

Bảng điều khiển liên kết của SantaStealer được tinh chỉnh. Các nhà điều hành có thể tùy chỉnh các bản build, và họ có thể đánh cắp mọi thứ hoặc chỉ tập trung vào dữ liệu ví và trình duyệt. Các tùy chọn cũng cho phép các nhà điều hành loại trừ khu vực Cộng đồng các Quốc gia Độc lập (CIS) và trì hoãn thực thi. SantaStealer vẫn chưa lan rộng trên quy mô lớn, và phương pháp phát tán của nó vẫn chưa rõ ràng. Các chiến dịch gần đây ưa chuộng các cuộc tấn công ClickFix vì nạn nhân bị lừa dối vào việc dán các lệnh độc hại vào các terminal Windows.