Основы Интернет - технологий.

Специалисты компании Rapid7 обнаружили новую малварь SantaStealer, которая активно рекламируется в Telegram-каналах и на хакерских форумах. Вредонос позиционируется как малварь, работающая исключительно в оперативной памяти, что теоретически должно помогать ей избегать обнаружения традиционными защитными решениями. Как выяснилось в ходе расследования, SantaStealer является ребрендингом проекта BluelineStealer. Предположительно русскоязычный разработчик малвари, планирует официальный запуск сервиса до конца текущего года. Сейчас потенциальным клиентам SantaStealer уже предлагаются две версии подписки: базовая за 175 долларов в месяц и премиальная за 300 долларов ежемесячно. Исследователи пишут, что им удалось получить доступ к административной панели сервиса и проанализировать несколько образцов вредоноса. Выводы оказались неожиданными: несмотря на громкие заявления создателей о сложности обнаружения, реальные образцы стилера оказались далеки от совершенства. К примеру, малварь содержит незашифрованные строки, не использует обфускацию, содержит оригинальные имена функций и глобальных переменных, что существенно упрощает анализ. «Утечка образцов на столь ранней стадии разработки, когда в коде еще остаются незашифрованные данные, является серьезной операционной ошибкой, которая может свести на нет значительную часть усилий разработчиков и указывает на низкий уровень их операционной безопасности», — отметили исследователи. По информации Rapid7, SantaStealer оснащен 14 специализированными модулями для сбора данных, и каждый из них работает в отдельном потоке. Малварь способна похищать пароли из браузеров, файлы cookie, историю посещений, данные сохраненных банковских карт. Также вредонос ворует учетные записи в мессенджерах Telegram и Discord, игровой платформе Steam, информацию криптовалютных кошельков и их браузерных расширений. Помимо этого стилер может создавать скриншоты рабочего стола жертвы и копировать документы пользователя. Украденные данные записываются в память, упаковываются в ZIP-архив и отправляются на управляющий сервер злоумышленников порциями по 10 МБ через порт 6767. Кроме того, отмечается, что в SantaStealer реализован механизм обхода относительно новой защитной системы App-Bound Encryption в браузере Chrome, которая была представлена летом 2024 года. Панель управления малварью предлагает «клиентам» сервиса гибкие настройки для создаваемых сборок — от максимально агрессивных версий, ворующих все подряд, до узкоспециализированных вариантов, нацеленных на конкретные типы данных. Среди других опций есть возможность исключить из списка целей компьютеры пользователей из стран СНГ, а также функция отложенного запуска, которая призвана усложнить анализ. Пока SantaStealer еще незавершен и не получил широкого распространения, эксперты предполагают, что в будущем злоумышленники могут использовать для этих целей популярную технику атак ClickFix, когда жертву обманом заставляют самостоятельно скопировать и выполнить вредоносные команды в командной строке Windows. Классические методы доставки малвари тоже остаются актуальными: фишинговые письма, пиратский софт, торрент-трекеры, вредоносная реклама и комментарии на YouTube.