Хоу-хоу-хоу: SantaStealer вышел на охоту за вашими паролями и криптокошельками

leer en español

SantaStealer Rapid7 Telegram Chrome Windows криптокошельки кража данных
Хоу-хоу-хоу: SantaStealer вышел на охоту за вашими паролями и криптокошельками
SantaStealer Rapid7 Telegram Chrome Windows криптокошельки кража данных

Тихий гость уже у порога, и заметить его сложнее, чем кажется.

image

Перед новогодними праздниками на теневых площадках часто появляются свежие инструменты для кражи данных, и в этот раз в Telegram и на хакерских форумах активно продвигают SantaStealer. Его позиционируют как вредоносную программу, работающую в памяти, чтобы реже попадаться средствам защиты, но первые разборы показывают, что реальность скромнее заявлений.

Компания Rapid7 сообщает, что SantaStealer выглядит как ребрендинг проекта BluelineStealer, а разработчик ускоряет подготовку к запуску до конца года. По наблюдениям авторов отчёта, утёкшие образцы содержат много подсказок для анализа, включая читаемые строки и названия символов, что говорит о слабой операционной дисциплине и мешает попыткам скрытности. Быстрого и надёжного обхода обнаружения, на который намекает реклама, в изученных вариантах Rapid7 не увидела.

Судя по доступу к партнёрской панели, «клиентам» предлагается собирать сборки с разной глубиной кражи данных — от универсального варианта до настроек под конкретные типы информации. Внутри SantaStealer использует 14 модулей сбора, которые запускаются параллельно: данные пишутся в память, затем упаковываются в ZIP и отправляются на заданный сервер управления порциями по 10 МБ через порт 6767.

Цели типичны для подобных семейств: пароли, cookie, история, сохранённые банковские карты в браузерах, данные Telegram, Discord и Steam, приложения и расширения криптокошельков, а также документы. Кроме того, предусмотрены снимки экрана рабочего стола.

Отдельно отмечается, что стилер применяет встроенный исполняемый компонент для обхода защиты Chrome App-Bound Encryption, появившейся в июле 2024 года и уже атакуемой другими активными стилерами. В настройках также есть исключение систем из стран СНГ и задержка запуска, чтобы запутывать жертву паузой «бездействия».

Массового распространения SantaStealer пока не зафиксировано, поэтому способ доставки остаётся открытым. Rapid7 допускает сценарии с ClickFix, когда пользователя убеждают вставить опасную команду в терминал Windows, а также классические схемы через фишинг, пиратский софт, торренты, вредоносную рекламу и обманные комментарии на YouTube.

В качестве базовой защиты в Rapid7 советуют внимательнее проверять ссылки и вложения из неожиданных писем и не запускать непроверенный код из публичных репозиториев при установке расширений.