新たに特定されたSantaStealerと呼ばれる情報窃取型マルウェアが、アンダーグラウンドのフォーラムやTelegramチャンネルで勢いを増している。
セキュリティ研究者は、運用者によって「本番運用可能」と宣言されたこのマルウェアが、従来の検知手法を回避しつつ、認証情報、金融データ、機密ファイルをひそかに収集するよう設計されていると警告している。
このマルウェアは「…完全にファイルレスの収集アプローチで、モジュールとChrome復号DLLがメモリ上に読み込まれて実行される」と、Rapid7の研究者が述べた。
SantaStealerとMaaS経済
SantaStealerはマルウェア・アズ・ア・サービス(MaaS)の継続的な進化を反映しており、サイバー犯罪者の参入障壁を下げる一方で、認証情報窃取の規模と速度を高めている。
このマルウェアは広く利用されているブラウザ、アプリケーション、ローカルのデータストアを標的としており、企業、中小企業、個人ユーザーのいずれにとっても無関係ではない。
Rapid7 Labsは、Raccoonスティーラーファミリーに一般的に関連付けられる汎用インフォスティーラールールをトリガーする不審なWindows実行ファイルを検知した後、2025年12月上旬にSantaStealerを初めて特定した。
Rapid7の分析によれば、SantaStealerはリリース前にリブランディングを行う以前、BluelineStealerという名称で宣伝されていた。
このスティーラーはTelegramチャンネルやロシア語のアンダーグラウンドフォーラムを通じて販売されており、高度な回避技術とエンタープライズ級の標的化をうたうアフィリエイト向けWebパネルも備えている。
価格は、ベーシック層で月額約175ドルから、プレミアム提供で月額300ドルまでとなっている。
SantaStealerのデータ窃取パイプラインの内部
SantaStealerは主にメモリ上で動作するよう設計されており、ドロップされるファイルへの依存を減らし、ファイルベースのセキュリティツールによる検知を困難にしている。
このマルウェアは認証情報、Cookie、暗号資産ウォレット、スクリーンショット、ドキュメント、アプリケーションデータを収集し、盗んだ情報をZIPアーカイブに圧縮する。
このマルウェアはアーカイブを10MBのチャンクに分割し、暗号化されていないHTTPでコマンド&コントロール(C2)サーバーへ送信する。
C2アドレスやキャンペーン識別子を含む設定データは、平文のまま実行ファイルに直接埋め込まれており、初期バージョンのマルウェアは比較的解析・追跡が容易になっている。
SantaStealerはモジュール式のマルチスレッド・アーキテクチャを採用しており、複数のデータ窃取コンポーネントを並行して実行できる。
専用モジュールはChromium系ブラウザ、TelegramやDiscordなどのメッセージングプラットフォーム、ゲームアプリケーション、ブラウザ拡張機能を標的とする。
追加モジュールは環境変数、スクリーンショット、ローカルに保存されたドキュメントを収集する。
SantaStealerの回避主張は期待外れ
SantaStealerの運用者は強力な解析妨害やアンチウイルス回避機能を宣伝しているが、観測されたサンプルからは、これらの能力が依然として基本的な水準にとどまっていることが示唆される。
研究者は、難読化されていない文字列、エクスポートされた関数名、cJSON、sqlite3、minizといった静的リンクされたライブラリを含む複数のビルドを特定した。これは「完全に未検知」をうたうマルウェアとしては異例の見落としである。
一部のサンプルには、ブロックリスト化されたプロセス、不審なディレクトリ名、仮想化サービスのスキャンなど、アンチ仮想マシンおよびアンチデバッグのチェックが含まれている。
仮想化または解析環境が検出されると、マルウェアは実行を終了する。しかし、これらのチェックはサンプルごとに異なっており、成熟した回避フレームワークというより、活発な開発段階にあることを示している。
注目すべき点として、SantaStealerにはロシア語キーボードレイアウトを使用するシステムを標的にしないための任意ロジックが含まれており、これはロシア語圏のサイバー犯罪エコシステム内で開発されたマルウェアに共通する特徴である。
インフォスティーラーに対する多層防御
SantaStealerへの防御は、予防、早期検知、侵害が発生した場合の影響最小化に焦点を当てた多層的アプローチに依存する。
- エンドポイント保護プラットフォームを常に最新の状態に保ち、インフォスティーラーやブラウザの認証情報窃取活動を検知できるよう調整する。
- ユーザーを訓練し、未検証のソフトウェア、悪意ある添付ファイル、偽の検証プロンプトなどのソーシャルエンジニアリング誘導を実行しないようにする。
- アプリケーションの許可リスト(allowlisting)を強制し、ユーザーが書き込み可能なディレクトリからの実行を制限して、不正なバイナリを遮断する。
- ブラウザ環境と認証情報ストレージを強化し、機微なアプリケーションにはフィッシング耐性のあるMFAを必須化する。
- 監視し、不審なブラウザ挙動、プロセスインジェクション、データ持ち出しを示唆する異常な外向きHTTPトラフィックを検知する。
- 最小権限を徹底して影響範囲(blast radius)を縮小し、ローカル管理者アクセスを制限し、重要システムへのエンドポイントアクセスをセグメント化する。
これらの統制を組み合わせて実装することで、インフォスティーラーへの露出を減らし、より強靭なエンドポイントおよびアイデンティティ防御を構築できる。
MaaSは攻撃者の参入障壁を下げる
SantaStealerはサイバー犯罪エコシステムにおけるより広範な傾向を反映している。すなわち、マルウェア・アズ・ア・サービス(MaaS)の提供が、正当なオープンソースプロジェクトをますます活用し、強固な運用上のセキュリティよりも迅速なリリースサイクルを重視するようになっているという傾向である。
初期バージョンに高度さが欠けていても、高速な反復と広範な配布によって、新興マルウェアファミリーが短期間で大量発生型の持続的脅威へと押し上げられる可能性がある。
この傾向は、ゼロトラストの原則の必要性を改めて強調する。すなわち、暗黙の信頼を排除し、アクセスを継続的に検証するという考え方である。
翻訳元: https://www.esecurityplanet.com/threats/santastealer-joins-the-naughty-list-of-new-infostealers/
