Исследователи компании Rapid7 зафиксировали появление на подпольных рынках новой вредоносной программы SantaStealer, активно рекламируемой в Telegram-каналах и на хакерских форумах. Разработчики позиционируют малварь как «стилер, работающий исключительно в оперативной памяти», что якобы позволяет ей обходить традиционные антивирусы и системы обнаружения. Однако детальный технический анализ показал: реальная степень скрытности SantaStealer значительно уступает маркетинговым заявлениям автора.
Происхождение SantaStealer и модель распространения как «малварь‑как‑сервис»
В ходе расследования специалисты установили, что SantaStealer фактически является ребрендингом проекта BluelineStealer. По данным Rapid7, за разработкой, предположительно, стоит русскоязычный автор, планирующий официальный запуск сервиса до конца текущего года. Малварь распространяется по модели Malware-as-a-Service (MaaS): заказчикам уже предлагаются две подписки — базовая за 175 долларов в месяц и премиальная за 300 долларов.
Такая коммерциализация вредоносного ПО соответствует общей тенденции на киберпреступных рынках: даже относительно простые инструменты кражи данных упаковываются как сервис с панелью управления, тарифами и «поддержкой клиентов». По данным отраслевых отчетов Verizon DBIR и ENISA, компрометация учетных данных стабильно остается одним из ключевых факторов успешных атак, что делает стилеры паролей чрезвычайно востребованным инструментом для злоумышленников.
Технический анализ: от «невидимости» к операционным ошибкам
Исследователи Rapid7 смогли получить доступ к административной панели SantaStealer и изучить несколько реальных сборок малвари. Противореча заявлениям разработчиков о высокой сложности обнаружения, образцы оказались слабо защищены и примитивны с точки зрения скрытности. В коде присутствуют незашифрованные строки, отсутствует обфускация, сохранены оригинальные имена функций и глобальных переменных — всё это существенно облегчает реверс‑инжиниринг и создание сигнатур для средств защиты.
Эксперты отмечают, что утечка полноценных образцов на ранних этапах разработки и публикация версии без минимальной защиты кода являются серьезной операционной ошибкой. Такие промахи снижают жизненный цикл малвари: как только вендоры средств информационной безопасности добавят соответствующие детекторы, значительная часть инфраструктуры злоумышленников потеряет ценность.
Возможности SantaStealer: какие данные под угрозой
По информации Rapid7, SantaStealer использует 14 специализированных модулей для сбора информации, каждый из которых работает в отдельном потоке. Малварь ориентирована на кражу максимально широкого спектра данных: пароли из браузеров, cookie‑файлы, историю посещений, сохраненные данные банковских карт, учетные записи мессенджеров Telegram и Discord, игровые аккаунты Steam, а также информацию криптовалютных кошельков и связанных с ними браузерных расширений.
Дополнительно стилер способен делать скриншоты рабочего стола и копировать пользовательские документы. Все похищенные данные временно сохраняются в оперативной памяти, затем упаковываются в ZIP‑архив и отправляются на сервер управления (C2) частями по 10 МБ через порт 6767. Подход «сбор в памяти → архив → передача» призван сократить количество артефактов на диске, однако из-за отсутствия глубокой маскировки поведенческий анализ на стороне EDR‑решений все равно способен выявить аномалии.
Обход защиты Chrome App-Bound Encryption
Отдельного внимания заслуживает реализация механизма обхода App-Bound Encryption в Google Chrome — технологии, представленной летом 2024 года и предназначенной для привязки зашифрованных данных к конкретному приложению. В теории такая защита усложняет кражу сохраненных паролей и токенов, однако SantaStealer демонстрирует, что злоумышленники оперативно адаптируют свои инструменты под новые защитные механизмы.
Подобные случаи подчеркивают: внедрение новых функций безопасности в браузерах и операционных системах само по себе не является панацеей. При отсутствии комплексного подхода к защите конечных точек (EDR/XDR, контроль приложений, мониторинг аномалий) даже современные механизмы шифрования могут быть обойденны вредоносным ПО, действующим от имени скомпрометированного пользователя.
Панель управления и гибкая конфигурация атак
Панель управления SantaStealer предоставляет покупателям широкий набор настроек для генерации сборок. Доступны как максимально «агрессивные» профили, собирающие практически все доступные данные, так и узконаправленные конфигурации, фокусирующиеся, например, только на криптокошельках или отдельном мессенджере. Среди опций предусмотрено исключение жертв из стран СНГ — популярная практика среди русскоязычных киберпреступников, стремящихся снизить внимание местных правоохранительных органов.
Также реализована функция отложенного запуска, когдаpayload активируется через заданный интервал после заражения. Такой подход осложняет статический и динамический анализ: исследователь может не увидеть вредоносную активность в первые минуты исполнения, если не учитывает возможные задержки.
Методы доставки: от ClickFix до классического фишинга
На момент публикации SantaStealer еще не получил широкого распространения, однако эксперты рассматривают несколько вероятных векторов доставки. Среди них — популярная техника ClickFix, при которой жертву убеждают самостоятельно скопировать и выполнить команды в командной строке Windows или PowerShell под предлогом «исправления ошибки». Подобные социально‑инженерные сценарии особенно эффективны против технически неподготовленных пользователей.
Классические каналы распространения малвари
Помимо ClickFix, в зоне риска остаются традиционные каналы: фишинговые письма с вредоносными вложениями, пиратский софт, торрент‑трекеры, вредоносная реклама (malvertising), а также поддельные программы и ссылки в комментариях на YouTube и в социальных сетях. Учитывая универсальность функционала SantaStealer, малварь может быть встроена как в «кряки» и «активаторы», так и в якобы полезные утилиты и игровые модификации.
С учетом появления SantaStealer организациям и частным пользователям имеет смысл усилить защиту учетных данных: использовать менеджеры паролей, включать многофакторную аутентификацию, ограничивать запуск неизвестных исполняемых файлов и контролировать использование командной строки и PowerShell. Для бизнеса критично развертывать EDR/XDR‑решения, регулярно проводить обучение сотрудников методам противодействия фишингу и социальным манипуляциям, а также отслеживать активность, связанную с подозрительной эксфильтрацией данных. Чем быстрее новые семейства малвари попадают в фокус защитных команд, тем меньше шансов у злоумышленников использовать их для масштабных атак.
