SantaStealer MaaS
A Rapid7 kutatói figyelmeztetést adtak ki egy új, infostealer malware-ről, amelyet SantaStealer néven forgalmaznak a darkweben és Telegram-csoportokban. A kártevő malware-as-a-service (MaaS) modell szerint működik, vagyis a fejlesztők bérleti alapon kínálják a támadók számára, akik így könnyen hozzáférhetnek a legújabb, frissített verziókhoz és támogató infrastruktúrához. A SantaStealer főleg arra specializálódott, hogy böngészőadatok, kriptopénztárcák, hitelkártya-információk és egyéb érzékeny felhasználói adatok ellopására legyen képes.
A Rapid7 elemzése szerint a SantaStealer 14 különböző adatlopási modulból áll, amelyek mind külön szálon futnak, így a lopott adatokat memóriába írják, ZIP-fájlba tömörítik, majd 10 MB-os csomagokban küldik el a támadók C2 szervereire a 6767-es porton keresztül. A malware fejlesztői azt ígérik, hogy a kód teljes egészében C nyelven íródott, és egyedi polimorf motorral rendelkezik, ami nehezíti a felfedezést, azonban a Rapid7 kutatói máris találtak nem obfuszkált, könnyen elemezhető mintákat, amelyek nem mutatják a hirdetett szintű fejlettséget.
A SantaStealer különlegessége, hogy a Független Államok Közössége országainak célzása nem rögzített a kódban, hanem a vásárló döntheti el, hogy ezekre a régiókra is terjeszteni szeretné-e a támadást. Ez szokatlan a kereskedelmi infostealerek között, ahol általában hardkódolt korlátozások vannak. A malware terjesztési módjai még nem teljesen tisztázottak, de a Rapid7 szerint a leggyakoribb eszközök a phishing levelek, a hamis reklámok, a torrent-oldalakról letöltött pirát szoftverek, valamint a YouTube-hoz hasonló platformokon elterjesztett csaló hirdetések lehetnek.
A Rapid7 figyelmezteti a felhasználókat, hogy ne nyissanak meg ismeretlen forrásból származó fájlokat, linkeket vagy mellékleteket, és mindenképpen ellenőrizzék a gyanús e-mailekben található tartalmakat. A cég saját Intelligence Hub platformján már elérhetőek a SantaStealerhez tartozó indikátorok (IoC), valamint folyamatosan frissülnek az új kampányokkal kapcsolatos információk, hogy a védelmi csapatok időben reagálhassanak az új fenyegetésekre. A SantaStealer jelenleg még nem terjedt el tömegesen, de a Rapid7 szerint a jövőben komoly veszélyt jelenthet mind magánfelhasználók, mind vállalati rendszerek számára, ezért fontossá válik a megfelelő védekezés és a biztonsági protokollok frissítése.
