A SantaStealer egy újonnan megjelent, malware‑as‑a‑service (MaaS) modellben értékesített információlopó kártevő, amelyet Telegram-csatornákon és zárt hackerfórumokon hirdetnek. A fejlesztők fejlett memóriaalapú működést és észleléselkerülő képességeket hirdetnek, azonban a Rapid7 kiberbiztonsági kutatói szerint ezek az állítások jelenleg nem megalapozottak.
Az elemzések alapján a SantaStealer a korábbi BluelineStealer projekt átcímkézett változata, amely egy orosz nyelvű fejlesztőhöz köthető. A szolgáltatás előfizetéses modellben érhető el, havi 175 USD (Basic) és 300 USD (Premium) havi díjú csomagokkal. A Rapid7 által vizsgált minták és az adminisztrációs felület alapján a kártevő funkcionálisan fejlett, ugyanakkor anti‑analízis és antivírus–elkerülő képességei kiforratlanok, a minták kiszivárgása pedig gyenge operációs biztonságra utal.
A SantaStealer 14 különálló, párhuzamosan futó adatgyűjtő modult használ. Az összegyűjtött adatokat memóriában kezeli, ZIP‑archívumba csomagolja, majd 10 MB-os blokkokban továbbítja egy beégetett C2-szerverre. Célpontjai közé tartoznak a böngészőkben tárolt hitelesítő adatok (jelszavak, sütik, elmentett bankkártyaadatok), az üzenetküldő és játékplatformok (Telegram, Discord, Steam), kriptotárcák, böngészőkiegészítők, valamint dokumentumfájlok. A kártevő képernyőképek készítésére is képes.
A malware megkerüli a Chrome App–Bound Encryption védelmét és konfigurálható úgy, hogy kizárja a CIS-régió rendszereit, illetve késleltetett végrehajtást alkalmazzon. Bár még nem kezdődött meg a tömeges terjesztés, várhatóan ClickFix támadások, adathalász kampányok, kalózszoftverek, torrentek és malvertising révén fog terjedni.
A Rapid7 felhívja a figyelmet arra, hogy a felhasználóknak fokozott óvatossággal kell kezelniük az ismeretlen forrásból származó hivatkozásokat és mellékleteket, valamint kerülniük kell a nem ellenőrzött kódok és bővítmények futtatását.