Новый модульный инфостилер под названием SantaStealer, рекламируемый в Telegram по цене от 175 долларов в месяц за базовый пакет, обещает осуществить рождественские мечты киберпреступников. Создатели уверяют, что он работает «полностью незаметно» даже в системах со «строжайшей антивирусной защитой», а также в сетях правительственных учреждений, финансовых организаций и других приоритетных целей.
Его русскоязычные операторы выпустили вредоносное ПО для кражи учетных данных и криптовалютных кошельков в понедельник. И хотя инфостилеры никогда не бывают приятной новостью, они преподнесли защитникам подарок: образцы, обнаруженные на данный момент, «далеки от незаметных» и очень просты в анализе.
Об этом сообщил исследователь безопасности Rapid7 Милан Шпинка, который опубликовал блог о стилере незадолго до того, как разработчики вредоносного ПО выпустили свой новый блестящий инструмент.
«Сложно сказать, являются ли наблюдаемые нами сейчас образцы последними сборками SantaStealer, или же может быть задержка, и мы видим лишь более ранние версии», — сказал Шпинка The Register. «В любом случае, проанализированные нами полезные нагрузки значительно уступали в возможностях противодействия анализу и уклонения, реализуя лишь базовую проверку на наличие виртуальной машины/отладки».
Он добавил, что образцы, проанализированные командой охотников за вредоносным ПО, «включают оригинальные названия функций и глобальных переменных и не выполняют никакого шифрования строк или обфускации кода, что делает анализ довольно простым».
Тем не менее, это инфостилер, и этот тип вредоносного ПО является любимым инструментом вымогателей и других финансово мотивированных преступников для получения первоначального доступа к ИТ-системам жертв. Поэтому вам не захочется случайно загрузить и запустить его на своем компьютере, предоставив тем самым злоумышленникам свои сохраненные имена пользователей и пароли от конфиденциальных учетных записей и корпоративных сетей.
Мы рекомендуем избегать незнакомых ссылок и вложений электронной почты, а также остерегаться поддельных инструкций по проверке подлинности пользователя или технической поддержке для выполнения команд на вашем компьютере
«SantaStealer нацелен на конфиденциальные документы, учетные данные и криптокошельки», — сказал Шпинка. «Мы рекомендуем избегать незнакомых ссылок и вложений электронной почты, а также остерегаться поддельных инструкций по проверке подлинности пользователя или технической поддержке для выполнения команд на вашем компьютере».
Команда Rapid7 впервые обнаружила SantaStealer в начале этого месяца и проанализировала не обфусцированные и не очищенные образцы. Вредоносное ПО, представляющее собой 64-битную DLL, содержало более 500 экспортируемых символов с самоочевидными названиями, такими как «payload_main», «check_antivm», «browser_names», «notes_config_size» и «notes_config_data», а также «множество» незашифрованных строк, указывающих на возможности кражи учетных данных.
Ребрендинг Blueline Stealer
Одна из этих строк содержала ссылку на Telegram-канал SantaStealer, где было объявлено, что это ребрендинг более раннего стилера под названием Blueline Stealer, управляемого парой анонимных разработчиков с Telegram-никами @weuploaddata (отображаемое имя «Cracked») и @furixlol (отображаемое имя «Furix»).
«Неясно, почему они решили переименовать стилер до запуска; однако это может быть частью ребрендинга, чтобы привлечь внимание с помощью запоминающегося названия», — сказал Шпинка The Register. «Мы можем отследить деятельность Blueline Stealer до июля 2025 года, когда разработчики делились доказательствами логов в своем специализированном Telegram-канале».
Разработчиками Blueline Stealer являются участник под псевдонимом «Cracked» и его партнер под псевдонимом «Furix».
Из Telegram-канала исследователи обнаружили веб-панель для аффилиатов с информацией о ценах: базовая версия стоит 175 долларов в месяц, а премиум-версия — 300 долларов в месяц.
Помимо Telegram, разработчики также рекламируют SantaStealer на русскоязычном хакерском форуме Lolz.
«Использование этого русскоязычного форума, доменное имя веб-панели, несущее код страны Советского Союза (su), и возможность настроить стилер так, чтобы он не нацеливался на русскоязычных жертв (описано далее), намекают на российское гражданство операторов — что совсем не редкость на рынке инфостилеров», — написал Шпинка в своем блоге.
Судя по проанализированным образцам, стилер, по-видимому, движется в сторону файлового сбора данных, при этом модули и DLL-дешифратор Chrome загружаются и выполняются в памяти. Это помогает вредоносному ПО избегать обнаружения на основе файлов.
После кражи пользовательских данных вредоносное ПО сжимает их и разбивает на части по 10 МБ, прежде чем отправить на сервер управления и контроля по незашифрованному HTTP-соединению.
В дополнение к техническому анализу, отчет Rapid7 включает список индикаторов компрометации, поэтому обязательно ознакомьтесь с ним, и, как призывает Шпинка в преддверии праздников: «оставайтесь в безопасности и не попадайте в список непослушных!» ®
Автор – Jessica Lyons
