- SantaStealer apunta a navegadores, billeteras, aplicaciones de mensajería, documentos y capturas de pantalla de escritorio.
- Catorce módulos extraen datos simultáneamente a través de subprocesos de ejecución separados
- El retraso funcional se utiliza para reducir la sospecha inmediata del usuario.
Los expertos han advertido sobre una nueva cepa de malware llamada SantaStealer que ofrece capacidades de robo de datos a través de un modelo de malware como servicio.
Investigadores de Rapid7 (a través de Computadora pitando), la operación es una versión renombrada de Bluelinestealer, cuyas actividades se han rastreado hasta canales de Telegram y foros clandestinos.
El acceso se vende a través de suscripciones mensuales con un precio de entre 175 y 300 dólares, lo que pone la herramienta al alcance de ciberdelincuentes de bajo nivel en lugar de operadores avanzados.
La amenaza de Santa Stella
SantaStealer se basa en catorce módulos de recopilación de datos separados, cada uno de los cuales se ejecuta en su propio hilo de ejecución, que extraen las credenciales del navegador, cookies, historial de navegación, detalles de pago almacenados, datos de aplicaciones de mensajería, información de billetera de criptomonedas y documentos locales seleccionados.
Los datos robados se escriben directamente en la memoria, se comprimen en un archivo ZIP y se envían a un servidor de comando y control codificado utilizando el puerto 6767 en segmentos de 10 MB.
El malware también es capaz de capturar capturas de pantalla del escritorio durante la ejecución, y una protección introducida a mediados de 2024 incluye un ejecutable integrado diseñado para evitar el cifrado vinculado a la aplicación de Chrome.
Este enfoque ya se ha observado en otras campañas proactivas de robo de datos, ya que opciones de configuración adicionales permiten a los operadores retrasar la ejecución, creando una ventana artificial de inactividad que puede reducir inmediatamente las sospechas.
SantaStealer también se puede configurar para evitar sistemas ubicados en la región de la Comunidad de Estados Independientes, una limitación que se ve comúnmente en el malware creado por actores de habla rusa.
Actualmente, SantaStealer no parece estar ampliamente distribuido y los investigadores no han observado una campaña a gran escala.
Sin embargo, los analistas señalan que la actividad de amenazas reciente favorece los ataques de estilo ClickFix, donde se engaña a los usuarios para que peguen comandos maliciosos en una terminal de Windows.
Otros posibles vectores de infección incluyen correos electrónicos de phishing, instaladores de software pirateados, descargas de torrents, campañas de publicidad maliciosa y comentarios fraudulentos en YouTube.
Es poco probable que la protección mediante firewall por sí sola impida estos puntos de entrada impulsados por la ingeniería social.
Actualmente, la detección antivirus es eficaz contra muestras observadas y eliminación de malware. Las herramientas son capaces de limpiar los sistemas afectados en pruebas controladas.
Actualmente, SantaStealer destaca más por su marketing que por su madurez técnica, aunque un mayor desarrollo puede cambiar su impacto.
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
