Um novo malware do tipo malware-as-a-service (MaaS), voltado para roubo de informações e chamado SantaStealer, está sendo divulgado em grupos do Telegram e fóruns de hackers.
Ele afirma operar inteiramente na memória do sistema para evitar detecção baseada em arquivos.
Pesquisadores da Rapid7 identificaram que essa operação é, na verdade, um rebranding do projeto BluelineStealer.
O desenvolvedor está intensificando os preparativos para o lançamento oficial, previsto para ainda este ano.
SantaStealer aparentemente é obra de um desenvolvedor de língua russa e está disponível em duas versões: Basic, com assinatura de US$ 175 por mês, e Premium, a US$ 300 mensais.
A Rapid7 analisou várias amostras do malware e teve acesso ao painel web destinado aos afiliados, revelando que, apesar das diversas técnicas de roubo de dados, o SantaStealer não apresenta a eficácia prometida para evitar detecção e análise.
Segundo o relatório divulgado hoje pela Rapid7, “as amostras que examinamos até o momento estão longe de serem indetectáveis ou difíceis de analisar”.
Os especialistas também apontam que o vazamento prematuro das amostras — contendo nomes de símbolos e strings não criptografadas — indica uma falha operacional grave dos operadores, comprometendo o desenvolvimento do malware e expondo sua baixa segurança operacional.
O painel de controle do SantaStealer possui uma interface simples, permitindo que os “clientes” personalizem suas versões, escolhendo entre um roubo de dados completo ou payloads mais enxutos, focados em informações específicas.
O malware opera com 14 módulos distintos para coleta de dados, executados em threads paralelos.
Ele armazena os dados roubados na memória, compacta-os em arquivos ZIP e os exfiltra em pedaços de 10 MB via porta 6767 para um servidor de comando e controle (C2) previamente configurado.
Os módulos são programados para coletar informações de navegadores — incluindo senhas, cookies, histórico de navegação e cartões de crédito salvos — além de dados do Telegram, Discord, Steam, aplicativos e extensões de carteiras de criptomoedas, além de documentos armazenados localmente.
O malware ainda captura screenshots da área de trabalho do usuário.
Para contornar as proteções App-Bound Encryption do Chrome, implementadas em julho de 2024, o SantaStealer utiliza um executável embutido — técnica que vem sendo explorada por outros info-stealers.
Outras opções de configuração permitem que os operadores excluam computadores localizados na região da Comunidade dos Estados Independentes (CIS) e definam atrasos na execução do malware, táticas usadas para confundir possíveis vítimas, simulando períodos de inatividade.
Como o SantaStealer ainda não está totalmente operacional nem foi distribuído em larga escala, sua principal forma de propagação ainda não está clara.
Contudo, ataques recentes indicam preferência por métodos como o ClickFix, em que usuários são induzidos a colar comandos maliciosos diretamente no terminal do Windows.
Além disso, phishing, softwares piratas, downloads via torrent, malvertising e comentários enganosos em vídeos do YouTube continuam sendo vetores comuns para disseminação deste tipo de malware.
A Rapid7 recomenda que usuários verifiquem cuidadosamente links e anexos recebidos por e-mail, especialmente os não solicitados, e alertam para os riscos de executar códigos não verificados provenientes de repositórios públicos ou extensões de software.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...