- SantaStealerはブラウザ、ウォレット、メッセージングアプリ、ドキュメント、デスクトップのスクリーンショットを標的にする
- 14のモジュールが別々の実行スレッドで同時にデータを抽出する
- 実行の遅延は、ユーザーの即時の疑念を減らすために用いられる
専門家は、マルウェア・アズ・ア・サービス(MaaS)モデルを通じて情報窃取機能を提供する「SantaStealer」と呼ばれる新たなマルウェア亜種について警告している。
Rapid7の研究者によると(BleepingComputer経由)、この活動はBluelineStealerのリブランド版であり、Telegramチャンネルやアンダーグラウンドフォーラムにまで追跡されている。
アクセスは月額サブスクリプションとして175ドルと300ドルで販売されており、高度なオペレーターではなく下位層のサイバー犯罪者でも手が届くツールとなっている。
SantaStealerの脅威
SantaStealerは14の独立したデータ収集モジュールで構成され、それぞれが独自の実行スレッドで動作し、ブラウザの認証情報、Cookie、閲覧履歴、保存された支払い情報、メッセージングアプリのデータ、暗号資産ウォレット情報、選択されたローカルドキュメントを抽出する。
盗まれたデータは直接メモリに書き込まれ、ZIPアーカイブに圧縮されたうえで、ポート6767を使用してハードコードされたコマンド&コントロール(C2)サーバーへ10MB単位で送信される。
このマルウェアは実行中にデスクトップのスクリーンショットを取得することもでき、2024年半ばに導入された保護機能であるChromeのApp Bound Encryptionを回避するために設計された埋め込み実行ファイルも含まれている。
この手法は、すでに他の活動中の情報窃取キャンペーンでも確認されており、追加の設定オプションによりオペレーターは実行を遅延させることができ、人工的な非アクティブ期間を作り出して即時の疑念を減らせる可能性がある。
SantaStealerは、独立国家共同体(CIS)地域に所在するシステムを回避するよう設定することもでき、これはロシア語話者のアクターが開発したマルウェアで一般的に見られる制限だ。
現時点では、SantaStealerが広く配布されているようには見えず、研究者は大規模なキャンペーンを確認していない。
しかしアナリストは、最近の脅威活動ではClickFix風の攻撃が好まれていると指摘しており、ユーザーをだましてWindowsのターミナルに悪意のあるコマンドを貼り付けさせる手口だ。
その他の感染経路として考えられるのは、フィッシングメール、海賊版ソフトウェアのインストーラー、トレントのダウンロード、マルバタイジング(悪意のある広告)キャンペーン、そして紛らわしいYouTubeコメントである。
ファイアウォール保護だけでは、こうしたソーシャルエンジニアリング主導の侵入経路を防ぐのは難しい。
現在観測されているサンプルに対しては、アンチウイルスによる検知は依然として有効であり、マルウェア除去 ツールも管理されたテスト環境では感染したシステムをクリーンにできる。
SantaStealerは現時点では技術的成熟度よりもマーケティング面のほうが目立つが、さらなる開発によって影響は変わり得る。
