年末年始の休暇シーズンが近づくと、アンダーグラウンドのマーケットプレイスでは新作の情報窃取ツールが急増することが多く、今回もSantaStealerがTelegramチャンネルやハッカーフォーラムで積極的に宣伝されています。セキュリティ防御を回避するためにメモリ常駐で動作するマルウェアだと謳われていますが、初期分析では、その実態は宣伝文句に及ばない可能性が示されています。
Rapid7によると、SantaStealerはBluelineStealerプロジェクトの単なるリブランドに過ぎないようで、開発者が年末までにリリースを急いだ形跡があります。レポートが指摘するように、流出したサンプルには可読な文字列やシンボル名など、分析の手がかりが多数含まれており、運用面の規律の甘さがうかがえるとともに、本気のステルス化の試みを損なっています。宣伝資料で謳われている迅速かつ確実な回避能力は、Rapid7が調査した亜種では確認されませんでした。
アフィリエイト用パネルへのアクセスから、「顧客」は窃取の深さが異なるビルドを生成できることが示唆されます。汎用的な設定から、特定のデータ種別に合わせたプロファイルまで用意されています。内部的には、SantaStealerは14個の収集モジュールを並列で動作させ、収集データをメモリに書き込み、ZIPアーカイブに圧縮したうえで、ポート6767経由で指定のコマンドサーバーへ10MB単位で送信します。
標的はこの種のマルウェアとして典型的で、ブラウザのパスワード、Cookie、閲覧履歴、保存された決済カード情報、Telegram・Discord・Steamのデータ、暗号資産ウォレットのアプリや拡張機能、さらに各種ドキュメントが含まれます。デスクトップのスクリーンショット取得にも対応しています。
レポートはさらに、このスティーラーが組み込みの実行可能コンポーネントを利用して、2024年7月に導入され、すでに他の活動中スティーラーからも攻撃対象となっているChromeのApp-Bound Encryptionを回避する点を強調しています。設定オプションには、CIS諸国に所在するシステムを除外することや、被害者に一見何も起きていない期間を見せて混乱させるための遅延実行フェーズを導入することも含まれます。
現時点ではSantaStealerの大規模な配布は確認されておらず、配布メカニズムは不明のままです。Rapid7は、被害者にWindowsのターミナルへ悪意あるコマンドを貼り付けさせるClickFixのような手口に加え、フィッシングキャンペーン、海賊版ソフトウェア、トレント、マルバタイジング、紛らわしいYouTubeコメントといった従来型のベクターも想定しています。
基本的な防御策としてRapid7は、予期しないメールに含まれるリンクや添付ファイルを精査すること、また拡張機能をインストールする際に公開リポジトリ上の未検証コードを実行しないことを推奨しています。
