SantaStealerと名付けられた新しいマルウェア・アズ・ア・サービス(MaaS)型の情報窃取マルウェアが、ファイルベースの検知を回避するためメモリ上で動作するとして、Telegramやハッカーフォーラムで宣伝されている。
Rapid7のセキュリティ研究者によると、この活動はBluelineStealerと呼ばれるプロジェクトのリブランディングであり、開発者は年末までに予定されているローンチに向けて活動を加速させているという。
SantaStealerはロシア語話者の開発者によるプロジェクトのようで、Basicは月額175ドル、Premiumは月額300ドルで提供されている。
出典: Rapid7
Rapid7は複数のSantaStealerサンプルを分析し、アフィリエイト向けWebパネルへのアクセスも得た。そこから、このマルウェアには複数のデータ窃取メカニズムが備わっている一方で、宣伝されている検知回避や解析回避の機能水準には達していないことが明らかになった。
「これまでに確認したサンプルは、検知不能には程遠く、解析が難しいということも一切ありません」とRapid7の研究者は本日のレポートで述べている。
「SantaStealerの背後にいる脅威アクターが、言及されている解析回避やアンチAV技術の一部をまだ開発中である可能性はあるものの、本番運用に耐える状態になる前に、シンボル名や暗号化されていない文字列を含むサンプルが流出したことは不手際であり、開発に注いだ努力の多くを台無しにしかねず、脅威アクターの運用セキュリティの低さを示唆している」とRapid7は述べている。
このパネルはユーザーフレンドリーな設計で、「顧客」は標的範囲を指定してビルドを構成できる。フルスケールのデータ窃取から、特定のデータのみを狙う軽量ペイロードまで幅広い。
出典: Rapid7
SantaStealerは14種類のデータ収集モジュールを使用し、それぞれが独自のスレッドで動作する。窃取したデータをメモリに書き込み、ZIPファイルにアーカイブしたうえで、ポート6767経由でハードコードされたコマンド&コントロール(C2)エンドポイントへ10MB単位で送信(流出)する。
これらのモジュールは、ブラウザ内の情報(パスワード、Cookie、閲覧履歴、保存されたクレジットカード)、Telegram、Discord、Steamのデータ、暗号資産ウォレットのアプリや拡張機能、そして文書ファイルを標的とする。さらに、このマルウェアはユーザーのデスクトップのスクリーンショットも撮影できる。
このマルウェアは、ChromeのApp-Bound Encryption保護を回避するために埋め込み実行ファイルを使用する。これは2024年7月に初めて導入されたもので、複数の活動中の情報窃取マルウェアによって回避されている。
他の設定オプションとして、独立国家共同体(CIS)地域のシステムを除外したり、非アクティブ期間を設けて被害者を攪乱するために実行を遅延させたりできる。
SantaStealerはまだ完全に稼働しておらず、大量配布もされていないため、どのように拡散するかは不明だ。しかし最近のサイバー犯罪者は、ユーザーをだましてWindowsのターミナルに危険なコマンドを貼り付けさせるClickFix攻撃を好む傾向がある。
フィッシング、海賊版ソフトウェア、またはトレントのダウンロードも一般的な配布手法であり、マルバタイジングや紛らわしいYouTubeコメントも同様だ。
Rapid7は、見覚えのないメールに含まれるリンクや添付ファイルを確認するようユーザーに推奨している。また、拡張機能について、公開リポジトリから未検証のコードを実行することに警鐘を鳴らしている。
