На підпільних форумах та в Telegram-каналах з’явився новий стилер облікових даних SantaStealer, який активно рекламують як «шкідливе ПЗ, що працює виключно в оперативній пам’яті» і начебто легко обходить антивіруси. Дослідження компанії Rapid7 показує: реальний рівень stealth-можливостей цієї малварі суттєво поступається гучним маркетинговим обіцянкам її автора.
SantaStealer і модель Malware-as-a-Service: ребрендинг BluelineStealer
За результатами технічного аналізу, SantaStealer виявився, по суті, ребрендингом відомого проєкту BluelineStealer. Дослідники пов’язують розробку з російськомовним автором, який планує повноцінний запуск сервісу до кінця року. Розповсюдження побудоване за моделлю Malware-as-a-Service (MaaS): клієнтам пропонують базову підписку за 175 доларів США на місяць та «преміум»-тариф за 300 доларів.
Формат MaaS означає, що зловмисники купують не просто файл, а готовий сервіс із панеллю керування, оновленнями та «підтримкою». Такий підхід значно знижує вхідний бар’єр на кіберзлочинному ринку: навіть малодосвідчений атакуючий може швидко запустити кампанію з викрадення даних.
За даними галузевих звітів, зокрема Verizon DBIR та ENISA Threat Landscape, компрометація облікових записів стабільно входить до переліку основних чинників успішних атак. Це робить стилери паролів одним із найбільш затребуваних інструментів у арсеналі кіберзлочинців.
Технічний аналіз SantaStealer: «невидимість» лише на словах
Фахівці Rapid7 отримали доступ до адмін-панелі SantaStealer та проаналізували низку реальних збірок. Попри заяви розробника про високий рівень непомітності, отримані зразки виявилися мінімально захищеними з точки зору коду.
У виконуваних файлах присутні відкриті текстові рядки, відсутня обфускація, збережені оригінальні імена функцій та глобальних змінних. Для засобів аналізу шкідливого коду це серйозна перевага: реверс-інженіринг спрощується, а сигнатури для антивірусів та EDR-рішень створити значно легше.
Передчасний витік повнофункціональних зразків без мінімального захисту коду можна розглядати як істотну операційну помилку розробника. Як тільки ключові вендори безпеки додадуть відповідні детектори, життєвий цикл SantaStealer скоротиться, а частина інфраструктури атакувальників втратить цінність.
Функціонал SantaStealer: які саме дані викрадає стилер
За інформацією Rapid7, SantaStealer складається з 14 модулів збору інформації, кожен з яких працює в окремому потоці. Малварь орієнтована на максимально широкий спектр даних користувача.
Стилер краде паролі з браузерів, cookie-файли, історію відвідувань, збережені дані банківських карток, облікові записи месенджерів Telegram і Discord, доступ до ігрових акаунтів Steam, а також інформацію про криптовалютні гаманці та пов’язані браузерні розширення.
Додатково SantaStealer здатен робити скриншоти робочого столу та копіювати користувацькі документи. Викрадені дані тимчасово зберігаються в оперативній пам’яті, потім пакуються в ZIP-архів і фрагментовано передаються на C2-сервер (частинами по 10 МБ через порт 6767). Такий підхід дійсно зменшує кількість артефактів на диску, але поведінковий аналіз EDR/XDR-рішень здатен виявити підозрілу ексфільтрацію навіть без файлів на жорсткому диску.
Обхід Chrome App-Bound Encryption: швидка адаптація атакувальників
Окремий інтерес викликає реалізація обходу App-Bound Encryption у Google Chrome — механізму, представленого в 2024 році для прив’язки зашифрованих даних (зокрема паролів і токенів) до конкретного застосунку.
Теоретично App-Bound Encryption має ускладнювати крадіжку облікових даних із браузера, однак SantaStealer демонструє, що розробники шкідливого ПЗ досить швидко адаптуються до нових захисних функцій. На практиці це означає: без комплексного підходу до захисту кінцевих точок (EDR/XDR, контроль запуску застосунків, моніторинг аномальної активності) навіть сучасні криптографічні механізми можуть бути обійдені шкідливим кодом, який працює від імені вже скомпрометованого користувача.
Панель керування SantaStealer: гнучкі налаштування та геофільтрація
Веб‑панель SantaStealer дозволяє «клієнтам» гнучко налаштовувати збірки. Можна створити як максимально агресивний профіль із повним збором усіх доступних даних, так і вузькоспеціалізовану конфігурацію, орієнтовану, наприклад, лише на криптогаманці чи конкретний месенджер.
Серед опцій доступне автоматичне виключення жертв із країн СНД — типовий геофільтр для російськомовних кіберзлочинців, що прагнуть знизити ризики уваги місцевих правоохоронних органів. Також реалізовано відкладений запуск payload’у: шкідлива активність стартує через певний час після зараження, що ускладнює як статичний, так і динамічний аналіз зразків.
Методи доставки SantaStealer: ClickFix, фішинг і піратський софт
ClickFix: коли користувач сам запускає шкідливий код
Експерти припускають, що одним із ключових векторів доставки SantaStealer стане техніка ClickFix. Жертву переконують вручну скопіювати та виконати набір команд у командному рядку Windows або PowerShell під виглядом «виправлення помилки» чи «активації програмного забезпечення». Для нефахових користувачів такі сценарії виглядають правдоподібно, що робить ClickFix ефективним інструментом соціальної інженерії.
Класичні канали: фішинг, торренти і шкідлива реклама
Паралельно з ClickFix у зоні ризику залишаються традиційні способи розповсюдження стилерів: фішингові листи з вкладеннями, піратське ПЗ, торрент‑трекери, malvertising (шкідлива реклама), а також підроблені утиліти й посилання в соцмережах та на YouTube. Функціональна універсальність SantaStealer дозволяє вбудовувати його і в «кряки», і в «активатори», і в нібито корисні безкоштовні програми.
Поява SantaStealer ще раз підтверджує: захист облікових даних має бути пріоритетом як для бізнесу, так і для приватних користувачів. Доцільно використовувати менеджери паролів, увімкнути багатофакторну автентифікацію, обмежити запуск невідомих виконуваних файлів і жорстко контролювати використання PowerShell та командного рядка. Організаціям варто розгортати EDR/XDR-рішення, регулярно навчати співробітників розпізнаванню фішингу та соціальної інженерії й моніторити будь-які аномальні спроби виведення даних. Чим раніше подібні сімейства, як SantaStealer, потрапляють у поле зору захисних команд, тим менше шансів кіберзлочинці мають для успішних масштабних атак.
