El malware SantaStealer ataca a las billeteras y navegadores de criptomonedas

SantaStealer es un nuevo malware que roba información y ataca las billeteras de criptomonedas. Este malware como servicio (MaaS)tracdatos privados vinculados a cualquier tipo de criptomoneda.

Los investigadores de Rapid7 afirman que SantaStealer es una nueva marca de otro ladrón de información llamado BluelineStealer. Se rumorea que el desarrollador de SantaStealer está preparando un lanzamiento más amplio antes de que acabe el año.

Actualmente, el malware se anuncia en Telegram y foros de hackers, y se ofrece como servicio de suscripción. El acceso básico cuesta $175 al mes, mientras que el acceso Premium es más caro y cuesta $300.

Los desarrolladores del malware SantaStealer afirman tener capacidad a nivel empresarial con evasiones de antivirus y acceso a la red corporativa.

SantaStealer se centra en las billeteras de criptomonedas

Las billeteras de criptomonedas son el principal objetivo de SantaStealer. El malware ataca aplicaciones de billeteras de criptomonedas como Exodus y extensiones de navegador como MetaMask. Está diseñado paratracdatos privados vinculados a activos digitales.

El malware no se detiene ahí. También roba datos del navegador, como contraseñas, cookies, historial de navegación e información guardada de tarjetas de crédito. Plataformas de mensajería como Telegram y Discord también están en el punto de mira. Incluye datos de Steam y documentos locales. El malware también puede realizar capturas de pantalla del escritorio.

Para ello, descarga o carga un ejecutable incrustado. Este ejecutable descifra e inyecta código en el navegador. Esto permite acceder a claves protegidas.

SantaStealer ejecuta simultáneamente varios módulos de recopilación de datos. Cada módulo opera en su propio hilo. Los datos robados se escriben en memoria, se comprimen en archivos ZIP y se extraen en fragmentos de 10 MB. Los datos se envían a un servidor de comando y control codificado a través del puerto 6767.

Para acceder a los datos de la billetera almacenados en los navegadores , el malware elude el cifrado vinculado a la aplicación de Chrome, que se introdujo en julio de 2024. Según Rapid7, varios ladrones de información ya lo han derrotado.

El malware se comercializa como avanzado y con total evasión. Sin embargo, los investigadores de seguridad de Rapid7 afirman que no cumple con estas afirmaciones. Las muestras actuales son fáciles de analizar y exponen símbolos y cadenas legibles. Esto sugiere un desarrollo apresurado y una seguridad operativa deficiente.

“Las capacidades antianálisis y sigilo del ladrón anunciado en el panel web siguen siendo muy básicas y amateurs, y solo la carga útil del descifrador de Chrome de terceros está algo oculta”, escribió Milan Spinka de Rapid7.

El panel de afiliados de SantaStealer está optimizado. Los operadores pueden personalizar las compilaciones y robar todo o centrarse solo en los datos de la billetera y el navegador. Las opciones también permiten a los operadores excluir la región de la Comunidad de Estadosdent (CEI) y retrasar la ejecución.

SantaStealer aún no se ha propagado a gran escala y su método de propagación sigue siendo incierto. Campañas recientes favorecen los ataques ClickFix, ya que engañan a las víctimas para que peguen comandos maliciosos en terminales de Windows.

Según los investigadores, otras vías de distribución de malware siguen siendo comunes, como correos electrónicos de phishing, software pirateado, torrents, publicidad maliciosa y comentarios engañosos en YouTube.

Los investigadores de seguridad aconsejan a los usuarios de criptomonedas que se mantengan alerta y eviten enlaces y archivos adjuntos desconocidos.

Spinka escribió: “Evite ejecutar cualquier tipo de código no verificado proveniente de fuentes como software pirateado, trucos de videojuegos, complementos y extensiones no verificados”.

¿Quieres que tu proyecto esté presente en las mentes más brillantes del mundo de las criptomonedas? Preséntalo en nuestro próximo informe del sector, donde los datos se combinan con el impacto.