Ein neuer Malware-as-a-Service-Infodieb namens SantaStealer wurde veröffentlicht und wird auf Telegram und in Untergrund-Cybercrime-Foren zum Verkauf angeboten. Sicherheitsforscher haben das Tool als umbenannten Nachfolger eines früheren Projekts namens BluelineStealer identifiziert. Die Entwickler bewerben die Malware vor Ende 2025 bei Cyberkriminellen und bieten Abo-ähnliche Zugangs- und lebenslange Lizenzen an.
SantaStealer ist darauf ausgelegt, auf Windows-Systemen von Version 7 bis 11 zu laufen und größtenteils im Speicher zu arbeiten, um der traditionellen dateibasierten Erkennung durch Antiviren- und Endpunktschutz-Tools zu entgehen. Das Tool wird von seinen Entwicklern als in der Lage beworben, eine breite Palette sensibler Informationen zu sammeln, indem gestohlene Daten zu Command-and-Control-Servern exfiltriert werden. Forscher und Analysten sagten, dass diese Art von Bedrohung die Entwicklung des Malware-Ökosystems hin zu einem kommerziellen Modell widerspiegelt, das die Markteintrittsbarrieren für Angreifer senkt.
Rapid7 Labs , eine Cybersicherheitsforschungsorganisation, sagte, Malware-Betreiber beobachteten das Projekt zunächst als noch in Entwicklung, es sei aber kürzlich als produktionsbereit erklärt und offiziell freigegeben worden. Betreiber nutzen Telegram-Kanäle und russischsprachige Untergrundforen, um Partner und Käufer anzuziehen, die das Tool für ihre eigenen Aktivitäten nutzen möchten. Die Nutzung solcher Messaging-Plattformen zur Verbreitung setzt einen Trend fort, bei dem Bedrohungsakteure leicht zugängliche soziale Apps nutzen, um illegale Tools zu bewerben und zu verkaufen.
Das Angebot von SantaStealer umfasst mehrere Preisklassen, die legitimen Software-Abonnementmodellen ähneln. Der Basis-Zugang wird mit etwa 175 USD pro Monat beworben, ein Premium-Abo kostet etwa 300 USD pro Monat und eine lebenslange Lizenz für etwa 1.000 USD. Diese Preise beinhalten den Zugang zu einem Webpanel, das es Kunden ermöglicht, das Verhalten der Schadsoftware zu konfigurieren und gestohlene Daten zu verwalten.
Die Forscher sagten, dass die Funktionen von SantaStealer eine modulare Datenerfassung ermöglichen, mit separaten Komponenten, die Browser-Zugangsdaten, Dokumente und Kryptowährungs-Wallets anvisieren. Neben der Sammlung von Passwörtern und Cookies aus beliebten Browsern kann die Malware Daten von Messaging-Anwendungen, Spielplattformen und anderen lokal gespeicherten Informationen auf infizierten Rechnern sammeln. Die gesammelten Dateien werden komprimiert und in Abschnitten an entfernte Server gesendet, um die Exfiltration zu erleichtern.
Obwohl die Betreiber fortschrittliche Ausweich- und Anti-Analyse-Fähigkeiten behaupten, enthielten die ersten von Rapid7 analysierten Proben unverschlüsselte Strings und Exportsymbole, die die Analyse für die Verteidiger erleichtern. Sicherheitsexperten sagten, dies deute darauf hin, dass trotz kühner Marketingbehauptungen die Malware möglicherweise noch nicht über ausgefeilte Tarnkappenfunktionen verfügt, die typisch für ältere Bedrohungen sind.
Die Entwicklung von SantaStealer zeigt einen umfassenderen Wandel in der Cyberkriminalität hin zu professionalisierten Malware-Diensten, die traditionelle Hacking-Tools mit kommerziellen Vertriebs- und Preismodellen verbinden. Infodiebstahl, die nach einem Malware-as-a-Service-Modell verteilt werden, ermöglichen es weniger erfahrenen Angreifern, fertige Tools zu kaufen, anstatt eigene zu entwickeln, was das Volumen potenzieller Angriffe erhöht.
Cybersicherheitsberater empfehlen Organisationen und Einzelpersonen, bei ungeprüftem Code Vorsicht walten zu lassen und Software nicht von vertrauenswürdigen Quellen auszuführen. Nutzer sollten Links und Anhänge in E-Mails genau prüfen, das Herunterladen unautorisierter Anwendungen vermeiden und aktuelle Sicherheitsvorkehrungen aufrechterhalten, um das Risiko einer Kompromittierung durch Bedrohungen wie SantaStealer zu verringern.