Rapid7 Labsのサイバーセキュリティ研究者は、巧妙な新たな脅威を発見しました。SantaStealerは、Telegramチャンネルや地下ハッカーフォーラムで積極的に宣伝されている、マルウェア・アズ・ア・サービス(MaaS)型の情報窃取マルウェアです。
このマルウェアは、最近「BluelineStealer」から改称したもので、2025年末までにリリース予定とされており、検知回避のために完全にメモリ上で動作しながら機密データを流出させる能力を持つことから、世界中のユーザーにとって増大する脅威となっています。
SantaStealerは、文書、認証情報、暗号資産ウォレット、そして多数のアプリケーションからのデータなど、包括的な範囲の機密情報を収集し、流出させるよう設計されています。
盗まれたデータは圧縮され、10MBのチャンクに分割されたうえで、暗号化されていないHTTP接続を介してC2(コマンド&コントロール)サーバーへ送信されます。
マルウェア運用者は、自らの製品を「Cで完全に記述」され、「カスタムCポリモーフィックエンジン」を備え、「完全に未検知」だと宣伝していますが、Rapid7の分析は異なる実態を示しています。
この発見は2025年12月上旬に起きたもので、Rapid7が特定したWindows実行ファイルが、Raccoonスティーラー系に典型的に関連付けられる汎用的な情報窃取マルウェア検知ルールをトリガーしました。
サンプルの分析により、「payload_main」「check_antivm」「browser_names」といった説明的な名前のエクスポートシンボルが500以上含まれる64ビットDLLであることが判明し、さらに認証情報窃取機能を示す多数の未暗号化文字列も確認されました。
技術アーキテクチャ
このマルウェアは、14種類の異なる専門モジュールを備えた、モジュール式かつマルチスレッドの設計を示しています。
これらには、環境変数の読み取りやスクリーンショット取得のための汎用モジュールに加え、Telegramデスクトップ、Discord、Steam、ブラウザ拡張機能、閲覧履歴、パスワードを標的とする専門モジュールが含まれます。
Chromium系ブラウザに対しては、SantaStealerはAppBound Encryptionを回避する手法を用い、ChromElevatorプロジェクトに基づくと思われる追加の実行ファイルを埋め込みます。これは、直接syscallベースのリフレクティブ・プロセス・ホロウイングを使用して正規のブラウザプロセスを乗っ取ります。
マルウェア内で特定された静的リンクライブラリには、JSON解析用のcJSON、zlib代替ライブラリとしてのminiz、そしてSQLiteデータベースとの連携のためのsqlite3が含まれます。
SantaStealerには、サンプルによって異なる複数の解析妨害機能が組み込まれており、継続的な開発が示唆されます。
これらには、カスタムのローリングチェックサムによるブロック対象プロセスのチェック、不審なコンピュータ名、ハードコードされた解析環境ディレクトリ、システム稼働時間の検証、時間ベースのデバッガ検知などが含まれます。
興味深いことに、このマルウェアにはCIS(独立国家共同体)諸国に対する任意のチェックが含まれており、GetKeyboardLayoutList APIを用いてロシア語キーボードレイアウトを検出し、CISを標的から外す設定の場合は実行を終了します。
価格設定と商用モデル
SantaStealerの背後にいる脅威アクターは、Webパネルを通じてアクセス可能な高度なアフィリエイトプログラムを運営しており、ユーザーはアカウント登録を行い、機能一覧、価格モデル、ビルド設定オプションにアクセスできます。
マルウェアの設定はJSONエンコードされたデータとして保存されており、Unicodeアートで「SANTA STEALER」と綴られたバナーと、スティーラーのTelegramチャンネルへのリンクで構成されています。
基本版は月額175ドル、プレミアム版は月額300ドルです。
運用者は、解析妨害手法、アンチウイルス回避、政府機関や企業ネットワークへの展開能力など、野心的な機能を宣伝しています。
このマルウェアはTelegramとロシア語圏のLolzハッカーフォーラムの双方で宣伝されており、ソ連の国別コードドメインの使用やCIS標的回避オプションなどから、運用者がロシア国籍であることを示唆する兆候が見られます。
SantaStealerの運用者が掲げる大胆な主張にもかかわらず、Rapid7の分析では、運用上のセキュリティ(OPSEC)に重大な失敗があることが明らかになりました。
流出したサンプルには、完全なシンボル名と未暗号化文字列を含む難読化されていないコードが含まれており、未検知どころか、比較的容易に解析できる状態です。
これほど明確な指標を伴う開発ビルドが早期に流出したことは、運用上のセキュリティが不十分であることを示しており、マルウェアの有効性を大きく損なう可能性があります。
SantaStealer感染を防ぐため、ユーザーは不審なリンクやメール添付ファイルに注意し、偽の人間確認プロンプトやコマンド実行を求めるテクニカルサポート指示を避け、海賊版ソフトウェア、ゲームチート、未検証のプラグインや拡張機能などの出所から未検証コードを実行しないようにしてください。
組織は、この新たな脅威に関連する現在の侵害指標(IOC)を認識できるよう、エンドポイント検知システムを最新の状態に保つべきです。
翻訳元: https://gbhackers.com/santastealer-malware/
