یک بدافزار جدید به عنوان سرویس (MaaS) برای سرقت اطلاعات به نام SantaStealer در تلگرام و انجمنهای هکرها تبلیغ میشود که برای جلوگیری از شناسایی مبتنی بر فایل، در حافظه عمل میکند.
به گفته محققان امنیتی Rapid7، این عملیات، تغییر نام تجاری پروژهای به نام BluelineStealer است و به نظر میرسد SantaStealer پروژه یک توسعهدهنده روسی زبان باشد. Rapid7 چندین نمونه SantaStealer را تجزیه و تحلیل کرد که نشان داد این بدافزار دارای چندین مکانیسم سرقت داده است، اما به ویژگی تبلیغشده برای فرار از شناسایی و تجزیه و تحلیل دست نمییابد. اگرچه ممکن است عامل تهدید مرتبط با SantaStealer هنوز در حال توسعه برخی از تکنیکهای ضد تجزیه و تحلیل یا ضد آنتیویروس ذکر شده باشد، اما افشای نمونههایی قبل از آماده شدن بدافزار برای استفاده در مرحله تولید – همراه با نامهای نماد و رشتههای رمزگذاری نشده – یک اشتباه ناشیانه است که احتمالاً بسیاری از تلاشهای انجام شده برای توسعه آن را خنثی میکند و به امنیت عملیاتی ضعیف عامل(ان) تهدید اشاره دارد.
این پنل دارای طراحی کاربرپسندی است که در آن «مشتریان» میتوانند ساختههای خود را با محدودههای هدفگیری خاص، از سرقت دادههای کامل گرفته تا پیلودهای دادهای که فقط به دنبال دادههای خاص هستند، پیکربندی کنند. SantaStealer از ۱۴ ماژول جمعآوری داده مجزا استفاده میکند که هر کدام در رشته خود اجرا میشوند، دادههای سرقت شده را در حافظه مینویسند، آنها را در یک فایل ZIP آرشیو میکنند و سپس آنها را در تکههای ۱۰ مگابایتی از طریق پورت ۶۷۶۷ به یک نقطه پایانی فرمان و کنترل (C2) کدگذاری شده ارسال میکنند. این ماژولها اطلاعات موجود در مرورگر (رمزهای عبور، کوکیها، تاریخچه مرور، کارتهای اعتباری ذخیره شده)، دادههای تلگرام، دیسکورد و استیم، برنامهها و افزونههای کیف پول رمز ارز و اسناد را هدف قرار میدهند. همچنین دارای قابلیت اسکرینشات گرفتن از دسکتاپ کاربر است و از یک فایل اجرایی جاسازی شده برای دور زدن محافظتهای رمزگذاری App-Bound کروم بهره میگیرد.
https://www.bleepingcomputer.com/news/security/new-santastealer-malware-steals-data-from-browsers-crypto-wallets/
