Fejlett, de ügyetlenül tervezett adatlopó
Bár a SantaStealer azt hirdeti, hogy képes elkerülni a vírusvédelmi és elemző eszközöket, a kutatók szerint az eddig vizsgált példányok könnyedén észlelhetők. Számos antivírus- és elemzésellenes funkció még fejlesztés alatt állhat, de a kiszivárgott minták olvasható szimbólumneveket és titkosítatlan szöveget tartalmaznak, emiatt a támadók eleve gyenge üzemeltetési biztonságról tanúskodnak.
Személyre szabható támadási felület
A SantaStealerhez tartozó vezérlőpanel egyszerű, mégis rugalmas: a felhasználók kiválaszthatják, milyen adatokat gyűjtsön a kártevő. Összesen 14 adatgyűjtő modul fut párhuzamosan; ezek jelszavakat, sütiket, böngészési előzményeket, elmentett bankkártyákat, Telegram-, Discord- és Steam-fiókokat, kriptotárca-alkalmazásokat és -bővítményeket, valamint dokumentumokat céloznak. Képes képernyőképet is készíteni. Az ellopott adatokat memóriába menti, majd ZIP-fájlba tömörítve, 10 MB-os adagokban küldi el egy előre beállított vezérlőszerverre egyedi porton keresztül.
Új trükkök a védelem kijátszására
Külön beépített futtatható állománnyal próbálja megkerülni a Chrome titkosítási védelmét. Más opciók kizárják a Független Államok Közössége régiójában működő gépeket, illetve beállítható az indulási késleltetés is, amivel az áldozatokat is összezavarhatják.
Terjedési módszerek és védekezés
Mivel a SantaStealer még nem teljesen kész, egyelőre nem világos, pontosan hogyan fog terjedni. A közelmúltban a bűnözők előszeretettel használják a ClickFix típusú támadásokat, ahol az áldozatokkal veszélyes parancsokat másoltatnak be a Windows Terminálba, de továbbra is népszerűek az adathalászat, kalózszoftverek, torrentek, megtévesztő reklámok és csaló YouTube-hozzászólások. A szakértők azt javasolják, hogy mindig ellenőrizd az ismeretlen e-mailek csatolmányait és linkjeit, és ne futtass hitelesítetlen kódot nyilvános forrásokból.
