Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

SantaStealer: модульный безфайловый стилер, продающийся как сервис

2
3 мин
В конце декабря 2025 года на подземных каналах появилась обновлённая угроза под именем SantaStealer — вредоносное ПО, которое коммерциализируется по модели Malware-as-a-Service (MaaS). Экземпляры распространяются через Telegram-каналы и хакерские форумы; ранее проект был известен под именем «BluelineStealer». Первое обнаружение связано с исследованием действий, схожих с инфекциями Raccoon Stealer. Лаборатория Rapid7 зафиксировала исполняемый файл Windows, который привлёк внимание аналитиков. Один из изученных образцов имеет SHA-256, начинающийся с 1a27, и представляет собой 64‑разрядную библиотеку DLL с более чем 500 экспортированными символами — многие имена экспортов описывают функциональность, включая Credential stealing. Анализ доступных образцов показывает следующие ключевые черты SantaStealer: Изучение вариантов SantaStealer выявило тенденцию к работе без создания традиционных файлов на диске — операции выполняются в оперативной памяти, что затрудняет их обнаружение средствами, о
Оглавление

В конце декабря 2025 года на подземных каналах появилась обновлённая угроза под именем SantaStealer — вредоносное ПО, которое коммерциализируется по модели Malware-as-a-Service (MaaS). Экземпляры распространяются через Telegram-каналы и хакерские форумы; ранее проект был известен под именем «BluelineStealer».

Как было обнаружено

Первое обнаружение связано с исследованием действий, схожих с инфекциями Raccoon Stealer. Лаборатория Rapid7 зафиксировала исполняемый файл Windows, который привлёк внимание аналитиков. Один из изученных образцов имеет SHA-256, начинающийся с 1a27, и представляет собой 64‑разрядную библиотеку DLL с более чем 500 экспортированными символами — многие имена экспортов описывают функциональность, включая Credential stealing.

Технические характеристики

Анализ доступных образцов показывает следующие ключевые черты SantaStealer:

  • Модульная и многопоточная архитектура, которая соответствует тому, что заявляют авторы.
  • DLL‑реализация с большим числом экспортов (более 500), что указывает на набор отдельных компонентов/функций в одном бинарнике.
  • Наличие модулей, явно предназначенных для кражи учётных данных, а также для взаимодействия с браузерами (включая использование стороннего Chrome decryptor).
  • Схожесть поведения с ранними образцами других стиллеров, но с явным стремлением к переходу на выполнение операций полностью в памяти.

Переход к модели fileless и скрытность

Изучение вариантов SantaStealer выявило тенденцию к работе без создания традиционных файлов на диске — операции выполняются в оперативной памяти, что затрудняет их обнаружение средствами, ориентированными на файловую систему. Такой подход повышает скрытность кампаний.

По заявлению разработчиков — «модульная и многопоточная конструкция», что подтверждается внутренней структурой образцов.

В то же время методы антианализа у вредоноса выглядят недостаточно зрелыми: несмотря на fileless‑подход, только отдельные компоненты (например, сторонний Chrome decryptor) дают скромную степень маскировки и осложняют реверс-инжиниринг.

Что это означает для организаций

  • Повышенный риск компрометации учётных данных пользователей и кражи сессий браузеров.
  • Усложнение обнаружения атак традиционными антивирусами, ориентированными на файловые индикаторы.
  • Возможность быстрой коммерциализации и масштабирования атак через Telegram и форумы — злоумышленники без глубокой технической экспертизы могут арендовать инструмент.

Рекомендации по защите

  • Усилить мониторинг процессов в памяти и события, связанные с инъекцией кода; внедрить EDR‑решения, способные детектировать поведение fileless‑угроз.
  • Обратить внимание на аномальные DLL с множеством экспортов и на нетипичное поведение браузеров (подозрительные обращения к локальным хранилищам, вытягивание cookies/логинов).
  • Патчить уязвимости и применять принцип наименьших привилегий для сервисов и пользователей.
  • Ограничить использование сторонних расширений и контролировать интеграцию сторонних decryptor/utility библиотек.
  • Проводить регулярное обучение пользователей по фишингу и опасным вложениям, а также блокировать подозрительные каналы в Telegram и известные криминальные ресурсы на уровне сети.

Индикаторы компрометации (IOC)

На данный момент подтверждён только общий признак: образец с SHA-256, начинающимся с 1a27. Дополнительно следует отслеживать аномальные DLL с большим количеством экспортов и поведение, характерное для fileless инъекций и кражи учетных данных из браузеров.

SantaStealer демонстрирует сочетание модульности и стремления к скрытности, но при этом остаётся относительно примитивным по части антианализа. Это делает его привлекательным инструментом для широкого круга злоумышленников и требует повышенного внимания со стороны команд по защите информации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "SantaStealer: модульный безфайловый стилер, продающийся как сервис".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.