💬 Вредоносное ПО SantaStealer нацелено на криптокошельки и браузеры от 2026-01-19

Вредоносное ПО SantaStealer нацелено на криптокошельки и браузеры

SantaStealer — это новое вредоносное ПО для кражи информации, нацеленное на криптокошельки. Вредоносное ПО как услуга (MaaS) извлекает частные данные, связанные с любым типом криптографии.

Исследователи из Rapid7 говорят, что SantaStealer — это ребрендинг другого инфостилера под названием BluelineStealer. Ходят слухи, что разработчик SantaStealer готовит более широкий запуск до конца года.

На данный момент вредоносная программа рекламируется в Telegram и на хакерских форумах, а также предлагается по подписке. Базовый доступ стоит 175 долларов в месяц, а премиум-доступ дороже и стоит 300 долларов.

Разработчики вредоносного ПО SantaStealer заявляют о возможностях корпоративного уровня с обходом антивируса и доступом к корпоративной сети.

Крипто-кошельки являются основным направлением деятельности SantaStealer. Вредоносное ПО нацелено на приложения криптокошельков, такие как Exodus, и расширения браузера, такие как MetaMask. Он предназначен для извлечения частных данных, связанных с цифровыми активами.

На этом вредоносное ПО не останавливается. Он также крадет данные браузера, включая пароли, файлы cookie, историю просмотров и сохраненную информацию о кредитных картах. Платформы обмена сообщениями, такие как Telegram и Discord, также подвергаются атакам. Включены данные Steam и локальные документы. Вредоносная программа также может делать снимки экрана рабочего стола.

Для этого он удаляет или загружает встроенный исполняемый файл. Этот исполняемый файл расшифровывает и вводит код в браузер. Это позволяет получить доступ к защищенным ключам.

SantaStealer одновременно запускает множество модулей сбора данных. Каждый модуль работает в своем потоке. Украденные данные записываются в память, сжимаются в ZIP-файлы и извлекаются частями по 10 МБ. Данные отправляются на жестко закодированный сервер управления и контроля через порт 6767.

Чтобы получить доступ к данным кошелька, хранящимся в браузерах, вредоносное ПО обходит шифрование привязки приложений Chrome, которое было представлено в июле 2024 года. По данным Rapid7, несколько похитителей информации уже победили его.

Вредоносное ПО позиционируется как продвинутое, с полным уклонением от атак. Но исследователи безопасности Rapid7 говорят, что вредоносное ПО не соответствует этим утверждениям. Текущие образцы легко анализировать, они предоставляют символы и читаемые строки. Это предполагает стремительное развитие и слабую операционную безопасность.

«Антианалитические и стелс-возможности стилера, рекламируемые на веб-панели, остаются очень простыми и любительскими, за исключением некоторой скрытой полезной нагрузки стороннего дешифратора Chrome», — написал Милан Спинка из Rapid7.

Партнерская панель SantaStealer отполирована. Операторы могут настраивать сборки и украсть все или сосредоточиться только на данных кошелька и браузера. Эти параметры также позволяют операторам исключать регион Содружества Независимых Государств (СНГ) и откладывать выполнение.

SantaStealer пока не получил широкого распространения, и способ его доставки остается неясным. Недавние кампании отдают предпочтение атакам ClickFix, поскольку жертв обманом заставляют вставлять вредоносные команды в терминалы Windows.

По мнению исследователей, распространенными остаются и другие пути доставки вредоносного ПО. К ним относятся фишинговые электронные письма, пиратское программное обеспечение, торренты, вредоносная реклама и мошеннические комментарии на YouTube.

Исследователи безопасности советуют пользователям криптовалюты быть начеку и избегать неизвестных ссылок и вложений.

Спинка написал: «Избегайте запуска любого непроверенного кода из таких источников, как пиратское программное обеспечение, читы для видеоигр, непроверенные плагины и расширения».