SantaStealer атакует браузеры и кошельки: эксперты предупредили о новом сервисе кражи данных по подписке

Эксперты в области кибербезопасности отмечают появление нового вредоносного инструмента, получившего название SantaStealer. Данный зловред распространяется по модели «вредоносное ПО как услуга«, что делает его крайне привлекательным для киберпреступников начального уровня – доступ к SantaStealer реализуется по ежемесячным подпискам за 175 либо 300 долларов. Западные аналитики установили, что речь идет о модернизированной версии BluelineStealer, о чем свидетельствуют активные обсуждения программы на подпольных форумах и в Telegram-каналах.

Отличительная особенность SantaStealer заключается в структуре из 14 отдельных модулей, каждый из которых задействует собственный поток выполнения. При такой организации вредонос собирает информацию одновременно из различных источников: браузерные пароли, cookie-файлы, историю посещений, сохранённые банковские данные, сообщения и данные приложений для коммуникации, информацию о криптовалютных кошельках, а также определённые документы, хранящиеся на устройстве жертвы. Помимо этого, вредоносная программа умеет создавать скриншоты экрана в процессе работы.

Вся собранная информация сжимается в ZIP-архивы прямо в памяти заражённой системы, после чего отправляется на заранее настроенный командный сервер через порт 6767 – передачи происходят сегментами по 10 мегабайт. Встроенный исполняемый файл позволяет SantaStealer обходить защиту шифрования Chrome, введённую разработчиками во втором полугодии 2024-го, что особенно опасно для свежих версий браузера.

Обнаружены и специальные механизмы, позволяющие вредоносу «затаиваться» – искусственная задержка выполнения создаёт иллюзию бездействия, снижая бдительность пользователя и уменьшая риск быстрой детекции.

Что примечательно, SantaStealer часто настроен так, чтобы пропускать устройства, находящиеся на территории стран СНГ — этот приём знаком российскому рынку по ряду аналогичных вредоносных программ.

Пока что инструмент не получил массового распространения: масштабных атак не зафиксировано, однако исследователи не исключают активизации, учитывая новые схемы доставки через фишинговые рассылки, вредоносные загрузчики, пиратские утилиты, сомнительную рекламу и даже поддельные комментарии на Youtube. Некоторые случаи заражения происходят через так называемые ClickFix-атаки, когда злоумышленник убеждает жертву самостоятельно ввести вредоносные команды в консоль Windows.

Обычная защита с помощью брандмауэра против подобных угроз малоэффективна из-за факторов социальной инженерии. Зато современные антивирусы и специализированные утилиты показывают хорошие результаты: на данный момент все протестированные образцы SantaStealer успешно обнаруживаются, а система очищается от вредоноса.

Пока что SantaStealer больше известен, благодаря агрессивному продвижению на теневом рынке, нежели своей технологической продвинутостью. Однако развитие этого инструмента вполне может усилить его влияние в будущем. Евгений Ивченко