Phần mềm độc hại SantaStealer mới đánh cắp dữ liệu từ trình duyệt và ví tiền điện tử

Theo các nhà nghiên cứu bảo mật tại Rapid7, SantaStealer có thể liên quan đến phần mềm độc hại BluelineStealer và các nhà phát triển đang đẩy mạnh hoạt động này trước khi ra mắt theo kế hoạch vào cuối năm nay.

SantaStealer dường như được phát triển bởi một tin tặc đến từ Nga, quảng cáo với gói Basic (giá 175 USD/tháng) và gói Premium (giá 300 USD/tháng). Rapid7 đã phân tích một số mẫu SantaStealer và có quyền truy cập vào bảng điều khiển web, qua đó phát hiện ra phần mềm độc hại này có nhiều cơ chế đánh cắp dữ liệu, nhưng không đáp ứng được tính năng né tránh phát hiện và phân tích như đã quảng cáo.

Các nhà nghiên cứu cho biết: "Mặc dù có khả năng nhóm tin tặc đứng sau SantaStealer vẫn đang phát triển một số kỹ thuật chống phân tích hoặc chống phần mềm diệt virus đã đề cập, nhưng việc các mẫu mã độc bị rò rỉ trước khi được đưa vào sử dụng thực tế, bao gồm cả tên ký hiệu và chuỗi ký tự chưa được mã hóa - là một sai lầm vụng về, có thể làm hỏng phần lớn nỗ lực phát triển phần mềm độc hại”.

Bảng điều khiển có thiết kế thân thiện với người dùng, nơi “khách hàng” có thể cấu hình các bản build của họ với các phạm vi mục tiêu rõ ràng, từ việc đánh cắp dữ liệu quy mô lớn đến các payload gọn nhẹ chỉ nhắm vào một đối tượng cụ thể. SantaStealer sử dụng 14 mô-đun thu thập dữ liệu riêng biệt, mỗi mô-đun chạy trong một luồng riêng, ghi dữ liệu bị đánh cắp vào bộ nhớ, lưu trữ vào tệp ZIP, sau đó trích xuất dữ liệu theo từng khối 10MB đến điểm cuối là máy chủ điều khiển và ra lệnh (C2) mã hóa cứng thông qua cổng 6767.

Các mô-đun này nhắm mục tiêu vào thông tin trong trình duyệt (mật khẩu, cookie, lịch sử duyệt web, thẻ tín dụng đã lưu), dữ liệu Telegram, Discord và Steam, các ứng dụng, tiện ích mở rộng ví tiền điện tử và các tệp tài liệu. Ngoài ra, phần mềm độc hại cũng có thể chụp ảnh màn hình máy tính của người dùng.

SantaStealer sử dụng một tệp thực thi được nhúng để vượt qua các biện pháp bảo vệ mã hóa ứng dụng của Chrome, được giới thiệu lần đầu vào tháng 7/2024 và đã bị nhiều phần mềm đánh cắp thông tin khác vượt qua.

Các tùy chọn cấu hình khác cho phép người điều hành loại trừ các hệ thống trong khu vực Cộng đồng các quốc gia độc lập (CIS) và trì hoãn việc thực thi để đánh lạc hướng nạn nhân bằng một khoảng thời gian không hoạt động.

Vì SantaStealer chưa phát tán rộng rãi nên chưa rõ liệu mã độc sẽ lây lan như thế nào. Tuy nhiên, gần đây tội phạm mạng dường như “ưa chuộng” các cuộc tấn công ClickFix hơn, trong đó người dùng bị đánh lừa dán các lệnh nguy hiểm vào cửa sổ dòng lệnh Windows của họ.

Lừa đảo trực tuyến, phần mềm bẻ khóa hoặc tải xuống qua torrent cũng là những phương pháp phân phối phổ biến, bên cạnh quảng cáo độc hại và các bình luận lừa đảo trên YouTube.

Do đó, Rapid7 khuyến cáo người dùng kiểm tra các liên kết và tệp đính kèm trong email mà họ không nhận ra. Các nhà nghiên cứu cũng cảnh báo về việc chạy mã chưa được xác minh từ các kho lưu trữ công khai dành cho các tiện ích mở rộng.