Un nouveau voleur d’infovols de logiciels malveillants appelé SantaStealer a été lancé et est proposé à la vente sur Telegram et sur des forums clandestins de cybercriminalité. Les chercheurs en sécurité ont identifié cet outil comme un successeur rebaptisé d’un projet antérieur connu sous le nom de BluelineStealer. Les développeurs promeuvent le malware auprès des cybercriminels avant la fin de 2025, en offrant un accès par abonnement et des licences à vie.
SantaStealer est conçu pour fonctionner sur des systèmes Windows de la version 7 à la 11 et fonctionner principalement en mémoire afin d’échapper à la détection traditionnelle basée sur les fichiers par les antivirus et les outils de protection des points d’extrémité. Ses développeurs présentent cet outil comme capable de collecter une large gamme d’informations sensibles en exfiltrant les données volées vers des serveurs de commandement et de contrôle. Chercheurs et analystes ont déclaré que ce type de menace reflète l’évolution de l’écosystème des malwares vers un modèle commercial qui abaisse les barrières à l’entrée pour les attaquants.
Rapid7 Labs , une organisation de recherche en cybersécurité, a indiqué que les opérateurs de logiciels malveillants avaient initialement observé le projet encore en développement, mais qu’il avait récemment été déclaré prêt à la production et officiellement publié. Les opérateurs utilisent les canaux Telegram et les forums clandestins en langue russe pour attirer les affiliés et les acheteurs intéressés à utiliser l’outil pour leurs propres opérations. L’utilisation de telles plateformes de messagerie pour la distribution perpétue une tendance dans laquelle les acteurs malveillants exploitent des applications sociales facilement accessibles pour promouvoir et vendre des outils illicites.
L’offre SantaStealer comprend plusieurs fourchettes de prix qui ressemblent à des modèles d’abonnement logiciels légitimes. L’accès de base est annoncé à environ 175 USD par mois, avec un abonnement premium d’environ 300 USD par mois, et une licence à vie disponible pour environ 1 000 USD. Ces prix incluent l’accès à un panneau web qui permet aux clients de configurer le comportement du malware et de gérer la collecte de données volées.
Les chercheurs ont indiqué que les fonctionnalités de SantaStealer permettent une collecte modulaire de données, avec des composants distincts ciblant les identifiants navigateur, les documents et les portefeuilles cryptomonnaies. En plus de collecter des mots de passe et des cookies à partir de navigateurs populaires, le malware peut collecter des données provenant d’applications de messagerie, de plateformes de jeux et d’autres informations stockées localement sur les machines infectées. Les fichiers collectés sont compressés et envoyés aux serveurs distants par blocs pour faciliter l’exfiltration.
Bien que les opérateurs revendiquent des capacités avancées d’évasion et d’anti-analyse, les premiers échantillons analysés par Rapid7 contenaient des chaînes non chiffrées et des symboles d’exportation qui facilitent leur analyse pour les défenseurs. Les spécialistes de la sécurité ont indiqué que cela suggère que, malgré des affirmations marketing audacieuses, le malware ne possède peut-être pas encore des fonctionnalités de furtivité sophistiquées typiques des menaces plus anciennes.
Le développement de SantaStealer met en lumière une évolution plus large de la cybercriminalité vers des services de logiciels malveillants professionnalisés qui allient outils de piratage traditionnels à des modèles de distribution et de tarification commerciaux. Les infostealers distribués selon un modèle de malware en tant que service permettent aux attaquants moins expérimentés d’acheter des outils prêts à l’emploi plutôt que de développer les leurs, augmentant ainsi le volume d’attaques potentielles.
Les conseillers en cybersécurité recommandent aux organisations et aux particuliers d’être prudents avec le code non vérifié et d’éviter d’exécuter des logiciels provenant de sources non fiables. Les utilisateurs doivent examiner attentivement les liens et pièces jointes dans les e-mails, éviter de télécharger des applications non autorisées et maintenir des protections de sécurité à jour afin de réduire le risque de compromission par des menaces telles que SantaStealer.