SantaStealer عبارة عن برنامج ضار جديد لسرقة المعلومات ويستهدف محافظ العملات المشفرة. تقوم البرامج الضارة كخدمة (MaaS) باستخراج البيانات الخاصة المرتبطة بأي نوع من أنواع العملات المشفرة.
يقول الباحثون في Rapid7 أن SantaStealer هو علامة تجارية جديدة لسرقة معلومات أخرى تسمى BluelineStealer. يشاع أن مطور SantaStealer يستعد لإطلاق أوسع قبل نهاية العام.
في الوقت الحالي، يتم الإعلان عن البرامج الضارة على Telegram ومنتديات القراصنة، ويتم تقديمها كخدمة اشتراك. تبلغ تكلفة الوصول الأساسي 175 دولارًا أمريكيًا شهريًا، بينما يعد الوصول المميز أكثر تكلفة ويكلف 300 دولارًا أمريكيًا.
يدعي مطورو البرمجيات الخبيثة SantaStealer بقدرات على مستوى المؤسسة من خلال تجاوز برامج مكافحة الفيروسات والوصول إلى شبكة الشركة.
يستهدف SantaStealer محافظ العملات المشفرة
محافظ العملات المشفرة هي محور التركيز الرئيسي لـ SantaStealer. تستهدف البرامج الضارة تطبيقات محفظة العملات المشفرة مثل Exodus وملحقات المتصفح مثل MetaMask. وهو مصمم لاستخراج البيانات الخاصة المرتبطة بالأصول الرقمية.
البرامج الضارة لا تتوقف عند هذا الحد. كما أنه يسرق بيانات المتصفح، بما في ذلك كلمات المرور وملفات تعريف الارتباط وسجل التصفح ومعلومات بطاقة الائتمان المحفوظة. يتم استهداف منصات المراسلة مثل Telegram و Discord أيضًا. يتم تضمين بيانات البخار والوثائق المحلية. يمكن للبرامج الضارة أيضًا التقاط لقطات شاشة لسطح المكتب.
للقيام بذلك، فإنه يقوم بإسقاط أو تحميل ملف قابل للتنفيذ مضمن. يقوم هذا الملف القابل للتنفيذ بفك تشفير التعليمات البرمجية وإدخالها في المتصفح. وهذا يسمح بالوصول إلى المفاتيح المحمية.
إعلان SantaStealer باللغتين الروسية والإنجليزية. المصدر: Rapid7.
يقوم SantaStealer بتشغيل العديد من وحدات جمع البيانات في وقت واحد. كل وحدة تعمل في موضوعها الخاص. تتم كتابة البيانات المسروقة على الذاكرة، وضغطها في ملفات ZIP، وتصفيتها في أجزاء بحجم 10 ميجابايت. يتم إرسال البيانات إلى خادم الأوامر والتحكم المضمن عبر المنفذ 6767.
للوصول إلى بيانات المحفظة المخزنة في المتصفحات، تتجاوز البرامج الضارة تشفير App-Bound من Chrome، والذي تم تقديمه في يوليو من عام 2024. ووفقًا لـ Rapid7، فقد هزمها بالفعل العديد من سارقي المعلومات.
يتم تسويق البرمجيات الخبيثة على أنها متقدمة، مع مراوغة تامة. لكن الباحثين الأمنيين في Rapid7 يقولون إن البرامج الضارة لا تتطابق مع هذه الادعاءات. من السهل تحليل العينات الحالية، كما أنها تكشف عن الرموز والسلاسل القابلة للقراءة. ويشير هذا إلى التطوير السريع وضعف الأمن التشغيلي.
كتب ميلان سبينكا من Rapid7: “تظل قدرات مكافحة التحليل والتخفي الخاصة بأداة السرقة المُعلن عنها في لوحة الويب أساسية للغاية وغير احترافية، مع إخفاء حمولة أداة فك تشفير Chrome التابعة لجهة خارجية إلى حد ما”.
تم تلميع اللوحة التابعة لـ SantaStealer. يمكن للمشغلين تخصيص الإصدارات، ويمكنهم سرقة كل شيء أو التركيز فقط على بيانات المحفظة والمتصفح. تسمح الخيارات أيضًا للمشغلين باستبعاد منطقة كومنولث الدول المستقلة (CIS) وتأخير التنفيذ.
لم ينتشر فيروس SantaStealer بعد على نطاق واسع، ولا تزال طريقة توصيله غير واضحة. تفضل الحملات الأخيرة هجمات ClickFix حيث يتم خداع الضحايا للصق أوامر ضارة في أجهزة Windows الطرفية.
ووفقا للباحثين، تظل مسارات توصيل البرامج الضارة الأخرى شائعة. يتضمن ذلك رسائل البريد الإلكتروني التصيدية، والبرامج المقرصنة، والسيول، والإعلانات الضارة، وتعليقات YouTube الخادعة.
ينصح الباحثون الأمنيون مستخدمي العملات المشفرة بالبقاء في حالة تأهب وتجنب الروابط والمرفقات غير المعروفة.
كتب سبينكا: “تجنب تشغيل أي نوع من التعليمات البرمجية التي لم يتم التحقق منها من مصادر مثل البرامج المقرصنة، وغش ألعاب الفيديو، والمكونات الإضافية والإضافات التي لم يتم التحقق منها.”