CoinFubi

一个名为 SantaStealer 的新的 MaaS 信息窃取工具正在 Telegram 和黑客论坛上被宣传，承诺在内存中运行以避免基于文件的检测。Rapid7 的安全研究人员表示，该操作是 BluelineStealer 的重新品牌化，开发者正在为年底前计划的发布做准备。SantaStealer 似乎是由一名讲俄语的开发者主导的项目，并以 Basic 订阅，月费 175 美元，以及 Premium 月费 300 美元进行推广。Rapid7 分析了若干 SantaStealer 样本，并获得对 affiliate web panel 的访问，结果显示该恶意软件具备多种数据窃取机制，但并未达到声称的规避检测与分析的特性。

“截至目前我们所见的样本远未达到难以检测，或难以分析的程度，” Rapid7 的研究人员在今日的一份报告中表示。“虽然 SantaStealer 背后的威胁行为者仍在开发前述的一些反分析或反 AV 技术，但在木马为生产用途准备好之前就泄露样本——完整的符号名和未加密的字符串——这是一个笨拙的错误，可能挫败其开发投入的大部分努力并暴露威胁行为者的运营安全状况不佳。”

该控制面板设计人性化，‘客户’可以配置其构建，针对目标范围可从全面数据窃取到仅攻击特定数据的精简载荷。SantaStealer 使用 14 个不同的数据收集模块，每个模块独立在一个线程中运行，将盗取的数据写入内存，归档成 ZIP 文件，然后以 10MB 的块通过端口 6767 向硬编码的命令与控制（C2）端点外发。这些模块针对浏览器中的信息（密码、Cookies、浏览历史、保存的信用卡信息）、Telegram、Discord、Steam 数据、加密货币钱包应用与扩展，以及文档数据。

该恶意软件还可以对用户桌面进行截屏。该恶意软件使用一个嵌入式可执行文件来绕过 Chrome 的 App-Bound Encryption 保护（该保护最初在 2024 年 7 月引入），并已被多款活跃的信息窃取工具绕过。其他配置选项还允许运营方排除独立国家联合体（CIS）地区的系统，并通过设置不活动期来延迟执行，以误导受害者。

由于 SantaStealer 尚未完全投入运营，也未大规模分发，因此其传播方式尚不清楚。然而，近来网络犯罪分子似乎更偏好 ClickFix 攻击，即诱使用户把危险命令粘贴到 Windows 终端中。钓鱼、盗版软件或种子下载也是常见的传播方式，恶意广告和误导性 YouTube 评论亦然。Rapid7 建议用户检查他们不认识的邮件中的链接和附件。