- SantaStealer tem como alvo navegadores, carteiras, aplicativos de mensagens, documentos e capturas de tela de desktop
- Quatorze módulos geram dados simultaneamente por meio de threads de execução separados
- Atrasos de execução são usados para reduzir a suspeita imediata dos usuários
Especialistas alertaram sobre um novo tipo de malware chamado SantaStealer, que oferece recursos de roubo de informações por meio de um modelo de malware como serviço.
Pesquisadores Rapid7 (via BipandoComputador), é uma reformulação da Operação BluelineStealer, com atividade atribuída a canais do Telegram e fóruns clandestinos.
O acesso é vendido por meio de assinaturas mensais com preços entre US$ 175 e US$ 300, disponibilizando a ferramenta para cibercriminosos de baixo nível, em vez de operadores avançados.
A ameaça SantaStealer
SantaStealer tem quatorze módulos separados de coleta de dados, cada um rodando em seu próprio thread de execução, que extraem credenciais do navegador, cookies, histórico de navegação, detalhes de pagamento armazenados, dados de aplicativos de mensagens, informações de carteira de criptomoeda e documentos locais selecionados.
Os dados roubados são gravados diretamente na memória, compactados em arquivos ZIP e transmitidos para um servidor de comando e controle criptografado usando a porta 6767 em segmentos de 10 MB.
O malware é capaz de capturar capturas de tela da área de trabalho durante a execução e contém um executável incorporado projetado para contornar o App Bound Encryption do Chrome, uma proteção introduzida em meados de 2024.
Este método já foi visto em outras campanhas ativas de roubo de informações, pois opções de configuração adicionais permitem que os operadores atrasem a execução, criando uma janela artificial de inatividade para reduzir suspeitas imediatas.
O SantaStealer também pode ser configurado para contornar sistemas localizados na região da Comunidade de Estados Independentes, uma restrição observada em malware desenvolvido por atores de língua russa.
Atualmente, o SantaStealer não parece ser muito difundido e os pesquisadores não viram uma grande campanha.
No entanto, os analistas alertaram que as atividades recentes de ameaças favorecem ataques do tipo ClickFix, em que os usuários colam comandos maliciosos em terminais Windows.
Outros prováveis vetores de infecção incluem e-mails de phishing, instaladores de software pirata, downloads de torrent, campanhas publicitárias e comentários enganosos no YouTube.
É pouco provável que a protecção por firewall por si só impeça estes pontos de entrada socialmente concebidos.
A detecção antivírus permanece eficaz contra as amostras visíveis de hoje e a remoção de malware as ferramentas são capazes de limpar os sistemas afetados em testes controlados.
Atualmente, o SantaStealer é mais notável pelo seu marketing do que pela sua maturidade técnica, embora o desenvolvimento futuro possa alterar o seu impacto.
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
