Auf einschlägigen Untergrundmärkten ist mit SantaStealer ein neues Stealer‑Tool aufgetaucht, das vor allem über Telegram‑Kanäle und Hackerforen beworben wird. Die Entwickler preisen die Malware als „ausschließlich im RAM arbeitenden Stealer“ an, der klassische Antiviren- und Erkennungssysteme umgehen soll. Eine technische Analyse von Rapid7 zeichnet jedoch ein deutlich kritischeres Bild.
Herkunft von SantaStealer und Malware-as-a-Service-Geschäftsmodell
Nach Erkenntnissen von Rapid7 handelt es sich bei SantaStealer im Kern um ein Rebranding des bereits bekannten BluelineStealer. Hinter der Entwicklung steht mutmaßlich ein russischsprachiger Akteur, der einen offiziellen Marktstart des Dienstes noch im laufenden Jahr plant. Die Malware wird nach dem Modell Malware-as-a-Service (MaaS) vermarktet.
Kunden können zwischen einem Basis-Abonnement für 175 US‑Dollar pro Monat und einer Premium-Variante für 300 US‑Dollar wählen. Enthalten sind Zugriff auf eine Web‑Administrationsoberfläche, Build‑Generierung und eine Art „Kundensupport“. Diese Kommerzialisierung reiht sich in den Trend ein, bei dem selbst vergleichsweise einfache Stealer als professionell verpackte Services angeboten werden.
Branchenberichte wie der Verizon Data Breach Investigations Report und die ENISA Threat Landscape zeigen seit Jahren, dass gestohlene Zugangsdaten zu den wichtigsten Ursachen erfolgreicher Angriffe zählen. Passwort‑Stealer sind daher ein zentrales Werkzeug für Initialzugriffe, Kontoübernahmen und nachgelagerte Kampagnen wie Ransomware oder Business‑Email‑Compromise.
Technische Analyse: Begrenzte Tarnung trotz RAM-Fokus
Rapid7 gelang es, sowohl auf die Verwaltungsoberfläche von SantaStealer als auch auf reale Malware-Builds zuzugreifen. Entgegen den Marketingaussagen erwies sich der Code als nur rudimentär verschleiert: Klartext‑Strings, fehlende Obfuskation sowie unveränderte Funktions- und Variablennamen erleichtern Reverse Engineering und die Entwicklung von Signatur‑basierten Erkennungsregeln erheblich.
Hinzu kommt, dass vollständige Samples bereits in einer frühen Entwicklungsphase in Umlauf geraten sind. Die Veröffentlichung schwach geschützter Testversionen gilt als deutlicher operativer Fehler, da Sicherheitsanbieter so frühzeitig Indikatoren und Verhaltensmuster ableiten können. Der Lebenszyklus der Malware verkürzt sich in der Folge deutlich.
Funktionen von SantaStealer: Welche Daten im Fokus stehen
Laut Rapid7 setzt SantaStealer auf 14 spezialisierte Module, die parallel in eigenen Threads ausgeführt werden. Ziel ist die möglichst umfassende Exfiltration sensibler Informationen, darunter gespeicherte Browser‑Passwörter, Cookies, Browserverläufe, Zahlungsinformationen, Zugänge zu Telegram und Discord, Steam‑Konten sowie Daten aus Kryptowallets und den dazugehörigen Browser‑Erweiterungen.
Zusätzlich ist die Malware in der Lage, Screenshots des Desktops zu erstellen und Benutzerdokumente zu kopieren. Alle Daten werden zunächst im Arbeitsspeicher gesammelt, anschließend zu einem ZIP‑Archiv gebündelt und in 10‑MB‑Teilstücken über Port 6767 an den Command‑and‑Control‑Server (C2) übertragen. Dieser Ansatz reduziert zwar Artefakte auf dem Datenträger, hinterlässt jedoch deutliche Verhaltensspuren, die durch moderne EDR/XDR‑Lösungen erkannt werden können.
Umgehung von Chrome App-Bound Encryption
Besonders sicherheitsrelevant ist der Umgang von SantaStealer mit der App-Bound Encryption in Google Chrome. Diese 2024 eingeführte Funktion soll verschlüsselte Browserdaten eng an die jeweilige Anwendung binden und so das Auslesen gespeicherter Passwörter und Tokens erschweren. SantaStealer zeigt, dass Angreifer ihre Werkzeuge schnell an neue Schutzmechanismen anpassen.
Indem die Malware im Kontext des kompromittierten Benutzers agiert, kann sie legitime Entschlüsselungswege missbrauchen, anstatt die Kryptografie direkt zu brechen. Dies unterstreicht, dass neue Sicherheitsfunktionen allein nicht ausreichen: Erst in Kombination mit Endpoint‑Schutz, Anwendungskontrolle und konsequentem Anomalie‑Monitoring entsteht ein wirksamer Abwehrverbund.
Steuerpanel und flexible Angriffskonfiguration
Die SantaStealer‑Konsole erlaubt Angreifern eine feingranulare Konfiguration. Neben „aggressiven“ Profilen, die nahezu alle verfügbaren Daten sammeln, können spezialisierte Builds erstellt werden, die sich etwa ausschließlich auf Kryptowallets oder einen bestimmten Messenger konzentrieren. Eine weitere Option ist das Ausschließen von Opfern aus GUS‑Staaten, eine in russischsprachigen Kreisen verbreitete Praxis zur Reduzierung des lokalen Strafverfolgungsdrucks.
Darüber hinaus unterstützt SantaStealer einen verzögerten Start der Payload. Die Schadfunktionen werden erst nach einem definierten Intervall aktiv, was statische und dynamische Analysen – insbesondere mit kurz laufenden Sandboxes – erschwert. Forscher, die nur die ersten Minuten einer Ausführung beobachten, können so leicht zu falschen Schlussfolgerungen gelangen.
Verbreitungsvektoren: Von ClickFix bis Phishing-Kampagnen
ClickFix: Social Engineering über die Kommandozeile
Als wahrscheinlich gilt der Einsatz der Technik ClickFix. Dabei werden Nutzer über gefälschte Supportseiten, Forenposts oder Pop‑ups dazu gebracht, selbst Befehle in die Windows‑Eingabeaufforderung oder PowerShell zu kopieren und auszuführen, angeblich um einen Fehler zu beheben. Gerade weniger technisch versierte Anwender sind für solche Social‑Engineering‑Angriffe anfällig.
Bewährte Malware-Kanäle bleiben gefährlich
Neben ClickFix kommen klassische Infektionspfade in Betracht: Phishing‑E-Mails mit schädlichen Anhängen, manipulierte Office‑Dokumente, raubkopierte Software und Torrent‑Downloads, Malvertising‑Kampagnen sowie gefälschte Tools und Links in YouTube‑Kommentaren oder sozialen Netzwerken. Aufgrund der vielseitigen Funktionalität lässt sich SantaStealer problemlos in „Cracks“, scheinbar nützliche Utilities oder Spiele‑Mods einbetten.
Angesichts der Verbreitung von Stealer‑Malware wie SantaStealer sollten Organisationen und Privatanwender den Schutz von Zugangsdaten priorisieren: Passwortmanager, konsequente Multi-Faktor-Authentifizierung, restriktive Ausführung unbekannter Software, Logging und Einschränkung von PowerShell sowie der Einsatz von EDR/XDR‑Lösungen sind zentrale Bausteine. Unternehmen sollten zudem Mitarbeitende regelmäßig zu Phishing und Social Engineering schulen und Netzwerkverkehr auf ungewöhnliche Datenabflüsse überwachen. Je schneller neue Malware‑Familien analysiert und in Schutzmechanismen abgebildet werden, desto geringer ist ihr Potenzial für großflächige Angriffe.
