SantaStealer: nowy infostealer (MaaS), który kradnie dane z przeglądarek i portfeli krypto - Security Bez Tabu

SantaStealer: nowy infostealer (MaaS), który kradnie dane z przeglądarek i portfeli krypto

Wprowadzenie do problemu / definicja luki

SantaStealer to nowy information stealer oferowany w modelu Malware-as-a-Service (MaaS), reklamowany na Telegramie i rosyjskojęzycznych forach cyberprzestępczych. Według pierwszych analiz, celem jest kradzież haseł, cookies, historii i kart płatniczych z przeglądarek, danych komunikatorów (Telegram, Discord), kont gamingowych (Steam), portfeli kryptowalut i dokumentów. Operatorzy przedstawiają go jako narzędzie działające w pamięci (fileless) i trudne do wykrycia, choć obecne próbki na to nie wskazują.

W skrócie

  • Model biznesowy: subskrypcja „Basic” $175/mies. i „Premium” $300/mies.; panel afiliacyjny z konfiguracją buildu.
  • Pochodzenie / branding: rebranding z BluelineStealer; kanały dystrybucji i marketingu na Telegramie i forum Lolz.
  • Modułowość: 14 wątków-modułów zbierających różne kategorie danych; zrzut do ZIP-a i wysyłka w kawałkach po 10 MB na C2 po HTTP (port 6767).
  • Obejście App-Bound Encryption (ABE): do odszyfrowania haseł/kart w Chromium wykorzystuje dołączony „ChromeElevator” (post-exploitation), bazujący na publicznym projekcie badawczym.
  • Anty-analiza: w obecnych próbkach prymitywna; twierdzenia o pełnej niewykrywalności przesadzone.
  • Status (16 grudnia 2025, Europa/Warszawa): Rapid7 odnotował komunikat na oficjalnym kanale o wydaniu stealer’a — można spodziewać się kampanii „in the wild”.

Kontekst / historia / powiązania

Rapid7 wskazuje, że SantaStealer to świeżo rebrandowany projekt BluelineStealer, który intensywnie promowano w grudniu 2025 r. w kanałach Telegram i na Lolz. Składnia panelu, domena z TLD .su oraz opcja nieatakowania państw CIS sugerują rosyjską przynależność operatorów (wzorzec typowy dla ekosystemu infostealerów).

Analiza techniczna / szczegóły luki

Architektura i uruchomienie. Zidentyfikowane próbki (EXE/DLL x64) mają bogaty zestaw eksportowanych symboli i niezaszyfrowane ciągi znaków, co ułatwiło inżynierię wsteczną. W konfiguracji wbudowanej w plik znajdują się m.in. parametry anti_cis, exec_delay_seconds i „watermark” z odnośnikiem do Telegrama.

Moduły zbierające dane (14 wątków). Każdy moduł działa w osobnym wątku i zapisuje artefakty w pamięci; po ~45 s zebrane pliki są pakowane do Log.zip w katalogu TEMP. Zbierane kategorie obejmują m.in.:

  • przeglądarki (hasła, cookies, karty, historia),
  • Telegram, Discord, Steam,
  • rozszerzenia przeglądarek i portfele krypto,
  • dokumenty i screenshoty.

Exfiltracja. ZIP dzielony jest na 10-megabajtowe części i wysyłany na sztywno zakodowany adres C2 po HTTP (endpoint /upload, port 6767) z nagłówkami auth (ID buildu) i w (tag kampanii). Brak szyfrowania transmisji.

Obejście ABE w Chromium. Aby ominąć App-Bound Encryption (wprowadzone w 2024 r.), SantaStealer uruchamia dołączony „ChromeElevator” — osobny EXE, który odszyfrowuje i ładuje w pamięci DLL; następnie przeprowadza reflective hollowing i działa w kontekście procesu przeglądarki, co pozwala wyciągać klucze ABE i odszyfrowywać hasła/karty. Rapid7 wskazuje, że komponent ten jest „silnie oparty” na publicznym repozytorium badawczym ChromElevator.

Anty-VM / anty-analiza. Sprawdzenia obejmują m.in. listy procesów, czas pracy systemu, usługę VBoxGuest, ścieżki typu C:\analysis\... i proste kontrole debuggera; w razie wykrycia — zakończenie pracy. Obecne techniki oceniono jako elementarne.

Praktyczne konsekwencje / ryzyko

  • Ryzyko masowych wycieków danych dostępowych i sesyjnych z Chromium (obejście ABE) — szybkie przejęcia kont SSO, SaaS, poczty i bankowości.
  • Kradzież środków z portfeli krypto oraz nadużycia w grach/marketplace’ach (Steam).
  • Szybkie TTV (time-to-value) dla afiliantów dzięki gotowemu panelowi, builderowi i tagowaniu kampanii, co ułatwia skalowanie operacji.
  • Fałszywe poczucie stealth — mimo marketingu „fileless/UD”, obecne próbki są wykrywalne; jednak spodziewana ewolucja może utrudnić detekcję (szyfrowanie configu, obfuskacja).

Rekomendacje operacyjne / co zrobić teraz

Prewencja

  1. Blokada wektorów wejścia: egzekwuj politykę no-install/no-admin, blokuj uruchamianie z %Temp% i katalogów użytkownika; w przeglądarkach wyłącz instalację niezatwierdzonych rozszerzeń.
  2. Hardening przeglądarek: wdrażaj profile MDM/ADMX (Chromium/Edge), wyłącz eksport haseł, wymuś hardware-bound encryption i izolację profili.
  3. Filtry treści i kampanii „ClickFix”: blokuj paste-bin/skracacze, domeny malvertising; szkol użytkowników przeciw „wklej to w PowerShell”.

Detekcja

  1. Sieć: reguły na HTTP do nieszyfrowanych IP:6767 oraz ruch multipart z nagłówkami User-Agent: upload, auth, w; alertuj na dzielenie plików po 10 MB.
  2. Host:
    • monitoruj tworzenie Log.zip w %TEMP% i nietypowe procesy potomne przeglądarek;
    • wykrywaj reflective hollowing/dołączanie DLL do procesów Chrome/Edge/Brave;
    • poluj na artefakt „CIS” oraz wywołania GetKeyboardLayoutList tuż przed zakończeniem procesu (heurystyka anti-CIS).
  3. IoC/IoA: wykorzystaj opublikowane przez Rapid7 skróty SHA-256 (próbki DLL/EXE) i wzorce zachowań do proaktywnych polowań.

Reagowanie

  1. Izolacja i triage: po wykryciu — izoluj host, zrzut pamięci procesu przeglądarki (na potrzeby artefaktów ChromeElevator).
  2. Reset sekretów: reset haseł i unieważnienie cookies/sesji (SaaS, e-mail, komunikatory); rotacja tokenów API.
  3. Higiena przeglądarek: usuń zainfekowane profile, wymuś ponowną rejestrację WebAuthn/2FA, włącz re-challenge po zmianie urządzenia.
  4. Threat intel: subskrybuj feedy (np. z platformy Rapid7) i aktualizuj reguły XDR/EDR pod kątem nowych wariantów.

Różnice / porównania z innymi przypadkami

  • Lumma/Vidar/RedLine: podobny cel (kradzież przeglądarek/portfeli), ale SantaStealer wyróżnia nacisk na obejście ABE w Chromium poprzez wbudowany komponent typu ChromeElevator. Starsze stealer’y często opierały się na DPAPI/cookie-graberach — ABE znacząco utrudniło im życie; SantaStealer nadrabia to techniką in-memory w kontekście przeglądarki.
  • Poziom „stealth”: marketing SantaStealer deklaruje „UD/polymorphic C engine”, ale analiza wskazuje na ubogie anty-analizy w obecnych próbkach — przewaga jest raczej funkcjonalna (moduły + ABE bypass) niż w ukryciu.

Podsumowanie / kluczowe wnioski

SantaStealer to świeży, modułowy infostealer MaaS celujący w przeglądarki i portfele krypto, z dojrzałym pipeline’em kradzieży i obejściem ABE. Na dziś przewaga napastników to funkcjonalność i użyteczność panelu, nie „niewykrywalność”. Ponieważ 16 grudnia 2025 r. pojawił się komunikat o wydaniu narzędzia, należy oczekiwać szybkich kampanii i iteracji technik ukrywania — warto już teraz wdrożyć reguły detekcyjne (C2:6767/HTTP + multipart 10 MB), wzmocnić przeglądarki i egzekwować polityki rozszerzeń.

Źródła / bibliografia

  1. BleepingComputer: „New SantaStealer malware steals data from browsers, crypto wallets” (15 grudnia 2025). (bleepingcomputer.com)
  2. Rapid7: „SantaStealer is Coming to Town: A New, Ambitious Infostealer…” (15–16 grudnia 2025, aktualizacja o wydaniu). (Rapid7)
  3. GitHub (xaitax): „Chrome App-Bound Encryption Decryption” — projekt badawczy, na którym bazuje komponent do obejścia ABE. (GitHub)