Το SantaStealer επιτίθεται σε χρήστες για να διεγείρει ευαίσθητα έγγραφα, διαπιστευτήρια και δεδομένα πορτοφολιού

Ένας νέος κλέφτης πληροφοριών που ονομάζεται SantaStealer έχει εμφανιστεί ως σοβαρή απειλή για τους χρήστες των Windows παγκοσμίως.

Αυτό το εργαλείο κακόβουλου λογισμικού ως υπηρεσία διατίθεται επιθετικά μέσω καναλιών Telegram και υπόγειων φόρουμ χάκερ, με σχέδια για πλήρη κυκλοφορία πριν από το τέλος του 2025.

Το κακόβουλο λογισμικό αντιπροσωπεύει μια αλλαγή επωνυμίας του προηγούμενου BluelineStealer, αντικατοπτρίζοντας την εξελισσόμενη φύση του τοπίου του εγκλήματος στον κυβερνοχώρο και τη συνεχή ανάπτυξη εξελιγμένων εργαλείων κλοπής που έχουν σχεδιαστεί για τη συλλογή ευαίσθητων πληροφοριών χρήστη.

Οι δυνατότητες του κλέφτη είναι εκτεταμένες και καλά οργανωμένες. Το SantaStealer συλλέγει και εκμεταλλεύεται ευαίσθητα έγγραφα, διαπιστευτήρια χρήστη, δεδομένα πορτοφολιού κρυπτονομισμάτων και πληροφορίες από ένα ευρύ φάσμα εφαρμογών.

Το κακόβουλο λογισμικό λειτουργεί εξ ολοκλήρου στη μνήμη για να αποφευχθεί η ανίχνευση βάσει αρχείων, ένα κρίσιμο χαρακτηριστικό για την αποφυγή παραδοσιακών λύσεων ασφαλείας.

Μόλις συλλεχθούν, όλα τα κλεμμένα δεδομένα συμπιέζονται, χωρίζονται σε διαχειρίσιμα κομμάτια 10 MB και αποστέλλονται σε έναν διακομιστή εντολών και ελέγχου μέσω μη κρυπτογραφημένων συνδέσεων HTTP.

Οι προγραμματιστές ισχυρίζονται ότι το κακόβουλο λογισμικό είναι πλήρως γραμμένο σε C με προσαρμοσμένο πολυμορφικό κινητήρα και πλήρεις δυνατότητες αντι-ανίχνευσης.

Ωστόσο, οι ερευνητές του Rapid7 αναγνωρισθείς Απεριόριστα και ξεκάθαρα δείγματα SantaStealer που παρέχουν μια εις βάθος ματιά στο πραγματικό επίπεδο πολυπλοκότητας του κακόβουλου λογισμικού.

Η ανάλυσή τους αποκαλύπτει σημαντικές αδυναμίες επιχειρησιακής ασφάλειας στην προσέγγιση των παραγόντων απειλής.

Μόλυνση στη μνήμη και κλοπή διαπιστευτηρίων προγράμματος περιήγησης

Οι αναλυτές εντόπισαν το κακόβουλο λογισμικό αφού ανακάλυψαν ένα εκτελέσιμο αρχείο των Windows που ενεργοποίησε γενικούς κανόνες ανίχνευσης κλέφτη πληροφοριών που συνήθως σχετίζονται με την οικογένεια κλεφτών Raccoon.

Η αρχική ανάλυση ενός DLL 64-bit που περιέχει πάνω από 500 εξαγόμενα σύμβολα με ιδιαίτερα περιγραφικά ονόματα, όπως «payload_main» και «check_antivm», αποκάλυψε γρήγορα τις δυνατότητες κλοπής διαπιστευτηρίων του κακόβουλου λογισμικού.

Η τεχνική υλοποίηση επιδεικνύει έναν αρθρωτό σχεδιασμό όπου το SantaStealer εκτελεί ανίχνευση εικονικής μηχανής πριν από την εκτέλεση του κύριου ωφέλιμου φορτίου του.

Μια ιδιαίτερα περίπλοκη πτυχή περιλαμβάνει την κλοπή διαπιστευτηρίων προγράμματος περιήγησης από προγράμματα περιήγησης που βασίζονται στο Chromium, παρακάμπτοντας την κρυπτογράφηση App-Bound.

Το κακόβουλο λογισμικό το επιτυγχάνει αυτό ενσωματώνοντας και εκτελώντας ένα εξειδικευμένο εργαλείο που ονομάζεται ChromElevator, το οποίο χρησιμοποιεί άμεση ανακλαστική διεργασία που βασίζεται σε syscall για να εισάγει κώδικα σε νόμιμες διαδικασίες του προγράμματος περιήγησης.

Αυτή η τεχνική επιτρέπει στον κλέφτη να αποκρυπτογραφήσει τα κλειδιά κρυπτογράφησης AppBound και να αποκτήσει πρόσβαση σε αποθηκευμένα διαπιστευτήρια χωρίς να προκαλεί άμεση υποψία.

Τα κλεμμένα δεδομένα υφίστανται συμπίεση στη μνήμη και εξάγονται μέσω απλού HTTP σε διακομιστές εντολών και ελέγχου με σκληρό κώδικα στη θύρα 6767.

Η τιμολόγηση για το κακόβουλο λογισμικό ως υπηρεσία κυμαίνεται από 175 $ μηνιαίως για βασική λειτουργικότητα έως 300 $ για λειτουργίες premium, συμπεριλαμβανομένων προσαρμοσμένων επιλογών υλοποίησης και δυνατοτήτων δέσμευσης αρχείων.

Οι επαγγελματίες ασφάλειας θα πρέπει να παραμείνουν σε επαγρύπνηση έναντι μη αναγνωρισμένων συνημμένων email και ύποπτων συνδέσμων λήψης που ενδέχεται να προκαλέσουν αυτήν την αναδυόμενη απειλή.