Хоу-хоу-хоу: SantaStealer вышел на охоту за вашими паролями и криптокошельками
NewsMakerТихий гость уже у порога, и заметить его сложнее, чем кажется.
Перед новогодними праздниками на теневых площадках часто появляются свежие инструменты для кражи данных, и в этот раз в Telegram и на хакерских форумах активно продвигают SantaStealer. Его позиционируют как вредоносную программу, работающую в памяти, чтобы реже попадаться средствам защиты, но первые разборы показывают, что реальность скромнее заявлений.
Компания Rapid7 сообщает , что SantaStealer выглядит как ребрендинг проекта BluelineStealer, а разработчик ускоряет подготовку к запуску до конца года. По наблюдениям авторов отчёта, утёкшие образцы содержат много подсказок для анализа, включая читаемые строки и названия символов, что говорит о слабой операционной дисциплине и мешает попыткам скрытности. Быстрого и надёжного обхода обнаружения, на который намекает реклама, в изученных вариантах Rapid7 не увидела.
Судя по доступу к партнёрской панели, «клиентам» предлагается собирать сборки с разной глубиной кражи данных — от универсального варианта до настроек под конкретные типы информации. Внутри SantaStealer использует 14 модулей сбора, которые запускаются параллельно: данные пишутся в память, затем упаковываются в ZIP и отправляются на заданный сервер управления порциями по 10 МБ через порт 6767.
Цели типичны для подобных семейств: пароли, cookie, история, сохранённые банковские карты в браузерах, данные Telegram, Discord и Steam, приложения и расширения криптокошельков, а также документы. Кроме того, предусмотрены снимки экрана рабочего стола.
Перед новогодними праздниками на теневых площадках часто появляются свежие инструменты для кражи данных, и в этот раз в Telegram и на хакерских форумах активно продвигают SantaStealer. Его позиционируют как вредоносную программу, работающую в памяти, чтобы реже попадаться средствам защиты, но первые разборы показывают, что реальность скромнее заявлений.
Компания Rapid7 сообщает , что SantaStealer выглядит как ребрендинг проекта BluelineStealer, а разработчик ускоряет подготовку к запуску до конца года. По наблюдениям авторов отчёта, утёкшие образцы содержат много подсказок для анализа, включая читаемые строки и названия символов, что говорит о слабой операционной дисциплине и мешает попыткам скрытности. Быстрого и надёжного обхода обнаружения, на который намекает реклама, в изученных вариантах Rapid7 не увидела.
Судя по доступу к партнёрской панели, «клиентам» предлагается собирать сборки с разной глубиной кражи данных — от универсального варианта до настроек под конкретные типы информации. Внутри SantaStealer использует 14 модулей сбора, которые запускаются параллельно: данные пишутся в память, затем упаковываются в ZIP и отправляются на заданный сервер управления порциями по 10 МБ через порт 6767.
Цели типичны для подобных семейств: пароли, cookie, история, сохранённые банковские карты в браузерах, данные Telegram, Discord и Steam, приложения и расширения криптокошельков, а также документы. Кроме того, предусмотрены снимки экрана рабочего стола.