Un nuevo stealer de credenciales llamado SantaStealer ha comenzado a circular en mercados clandestinos, Telegram y foros de hacking, presentándose como una solución «solo en memoria» capaz de evadir antivirus tradicionales. Sin embargo, un análisis técnico detallado de Rapid7 revela que el nivel real de sigilo del malware está muy por debajo de lo que prometen sus desarrolladores, lo que ofrece una ventana de oportunidad para que defensores y equipos de seguridad reaccionen a tiempo.
Origen de SantaStealer y consolidación del modelo Malware-as-a-Service
La investigación indica que SantaStealer es en realidad un rebranding de BluelineStealer, desarrollado presuntamente por un actor de habla rusa que planea un lanzamiento comercial completo antes de que finalice el año. La operación sigue el modelo Malware-as-a-Service (MaaS), con suscripciones mensuales: un plan básico por 175 dólares y uno prémium por 300 dólares, que incluyen acceso a panel de control y actualizaciones.
Esta comercialización de herramientas de robo de datos encaja con la tendencia observada en informes como Verizon DBIR y análisis de ENISA, donde la comprometición de credenciales se mantiene como uno de los principales vectores de intrusión. Stealers como SantaStealer reducen la barrera de entrada para ciberdelincuentes menos técnicos, poniendo a disposición paquetes listos para usar con soporte y documentación.
Análisis técnico: poca ofuscación y errores operativos
Los analistas de Rapid7 obtuvieron acceso al panel administrativo de SantaStealer y a varias muestras reales. Pese a que el autor lo publicita como un malware «difícil de detectar» y que «opera solo en RAM», el código muestra mínimas medidas de ocultación: cadenas sin cifrar, ausencia de ofuscación, nombres originales de funciones y variables globales visibles. Estos elementos facilitan el reverse engineering y la generación de firmas para soluciones antivirus y EDR.
Además, la filtración de compilaciones completas en una fase temprana del desarrollo, sin protección básica del código, constituye una seria falla operativa. Cuanto antes puedan crear indicadores de compromiso (IoC) los proveedores de seguridad, más corto será el ciclo de vida efectivo del malware y menor el retorno de inversión para sus operadores.
Capacidades de SantaStealer y tipos de datos en riesgo
Según el análisis, SantaStealer incorpora 14 módulos especializados, cada uno ejecutándose en un hilo independiente, para maximizar el volumen de información robada. Entre los objetivos principales se encuentran:
• credenciales, cookies e historial de navegadores;
• datos de tarjetas bancarias guardadas;
• cuentas de Telegram y Discord;
• perfiles de juego de Steam;
• criptomonedas y extensiones de monederos en navegadores;
• documentos del usuario y capturas de pantalla del escritorio.
Los datos extraídos se almacenan temporalmente en memoria, se comprimen en un archivo ZIP y se exfiltran al servidor de mando y control (C2) en fragmentos de 10 MB a través del puerto 6767. Aunque esta estrategia busca reducir rastros en disco, los patrones de recopilación y exfiltración siguen siendo detectables por soluciones modernas de EDR/XDR que monitorizan comportamiento y tráfico saliente anómalo.
Cómo SantaStealer sortea App-Bound Encryption en Google Chrome
Un aspecto especialmente relevante es el intento de SantaStealer de sortear App-Bound Encryption en Google Chrome, una función introducida en 2024 para vincular datos cifrados a una aplicación concreta y dificultar el robo de contraseñas y tokens. El malware demuestra que los grupos criminales adaptan rápidamente sus herramientas para explotar cualquier debilidad en la implementación o en el entorno del usuario comprometido.
Este caso pone de manifiesto que las nuevas funciones de seguridad del navegador no bastan por sí solas. Sin una estrategia integral de protección de endpoint —incluyendo control de aplicaciones, endurecimiento de configuración, EDR y monitorización continua—, incluso mecanismos de cifrado avanzados pueden ser eludidos por código malicioso que opera con los mismos privilegios que el usuario legítimo.
Panel de control, configuración flexible y exclusión geográfica
El panel web de SantaStealer ofrece a los «clientes» una amplia gama de ajustes para generar builds a medida. Es posible crear perfiles muy agresivos que recolectan casi toda la información disponible o configuraciones específicas centradas, por ejemplo, solo en monederos de criptomonedas o en un mensajero concreto.
Entre las opciones destaca la capacidad de excluir víctimas en países de la CEI, una práctica habitual en ecosistemas criminales de habla rusa para reducir la atención de fuerzas de seguridad locales. Asimismo, se ofrece la activación diferida del payload tras un intervalo programado, lo que dificulta el análisis estático y dinámico al retrasar los comportamientos claramente maliciosos.
Métodos de distribución: del ClickFix al phishing clásico
Por ahora, SantaStealer no se ha masificado, pero los investigadores prevén su uso en varias cadenas de infección. Una de las técnicas destacadas es ClickFix: el atacante convence a la víctima para que copie y ejecute manualmente comandos en la consola de Windows o PowerShell bajo el pretexto de «arreglar un error» o «activar una función». Esta forma de ingeniería social es especialmente efectiva con usuarios sin formación técnica.
Canales tradicionales de propagación de stealers y troyanos
Junto a ClickFix, siguen siendo relevantes los vectores clásicos: campañas de phishing con adjuntos maliciosos, software pirata, torrents, publicidad maliciosa (malvertising) y falsos programas o enlaces en redes sociales y plataformas como YouTube. Por su naturaleza modular, SantaStealer puede integrarse en cracks, activadores ilegales, «optimizadores» del sistema e incluso en modificaciones de videojuegos aparentemente legítimas.
Ante la aparición de familias como SantaStealer, resulta esencial reforzar la protección de credenciales mediante gestores de contraseñas, autenticación multifactor (MFA), restricción del uso de PowerShell y CMD y bloqueo de binarios no confiables. Las organizaciones deben desplegar soluciones EDR/XDR, formar de forma periódica al personal en detección de phishing y vigilar la exfiltración inusual de datos. Cuanto antes se analice y documente este tipo de malware, menor será la ventana de explotación para los atacantes y más resilentes serán los entornos corporativos y domésticos frente al robo de identidades digitales.
