È stato rilasciato un nuovo infostealer malware-as-a-service chiamato SantaStealer ed è stato messo in vendita su Telegram e su forum clandestini di cybercrimini. I ricercatori di sicurezza hanno identificato lo strumento come un successore rinominato di un precedente progetto noto come BluelineStealer. Gli sviluppatori stanno promuovendo il malware ai cybercriminali entro la fine del 2025, offrendo accesso in abbonamento e licenze a vita.
SantaStealer è progettato per funzionare su sistemi Windows dalla versione 7 all’11 e opera principalmente in memoria per evitare il tradizionale rilevamento basato su file da parte di antivirus e strumenti di protezione degli endpoint. Lo strumento è pubblicizzato dai suoi sviluppatori come capace di raccogliere un’ampia gamma di informazioni sensibili esfiltrando dati rubati verso server di comando e controllo. Ricercatori e analisti hanno affermato che questo tipo di minaccia riflette l’evoluzione dell’ecosistema malware verso un modello commerciale che riduce le barriere all’ingresso per gli attaccanti.
Rapid7 Labs , un’organizzazione di ricerca sulla cybersecurity, ha dichiarato che gli operatori di malware inizialmente hanno osservato il progetto ancora in fase di sviluppo, ma che è stato recentemente dichiarato pronto per la produzione e rilasciato ufficialmente. Gli operatori utilizzano i canali Telegram e i forum sotterranei in lingua russa per attrarre affiliati e acquirenti interessati a utilizzare lo strumento per le proprie operazioni. L’uso di tali piattaforme di messaggistica per la distribuzione continua una tendenza in cui gli attori minacciosi sfruttano app social facilmente accessibili per promuovere e vendere strumenti illeciti.
L’offerta SantaStealer include molteplici fasce di prezzo che assomigliano a modelli di abbonamento software legittimi. L’accesso base è pubblicizzato a circa 175 USD al mese, con un abbonamento premium a circa 300 USD al mese e una licenza a vita disponibile a circa 1.000 USD. Questi prezzi includono l’accesso a un pannello web che consente ai clienti di configurare il comportamento del malware e gestire la raccolta di dati rubati.
I ricercatori hanno affermato che le funzionalità di SantaStealer consentono la raccolta modulare dei dati, con componenti separati che puntano alle credenziali del browser, ai documenti e ai portafogli delle criptovalute. Oltre a raccogliere password e cookie dai browser più diffusi, il malware può raccogliere dati da applicazioni di messaggistica, piattaforme di gioco e altre informazioni memorizzate localmente su macchine infette. I file raccolti vengono compressi e inviati a server remoti in blocchi per facilitare l’esfiltrazione.
Sebbene gli operatori affermino capacità avanzate di evasione e anti-analisi, i primi campioni analizzati da Rapid7 contenevano stringhe non criptate e simboli di esportazione che li rendono più facili da analizzare per i difensori. Gli specialisti della sicurezza hanno affermato che ciò suggerisce che, nonostante audaci affermazioni di marketing, il malware potrebbe non avere ancora sofisticate funzionalità stealth tipiche delle minacce più mature.
Lo sviluppo di SantaStealer evidenzia un più ampio spostamento della criminalità informatica verso servizi malware professionalizzati che combinano strumenti di hacking tradizionali con modelli commerciali di distribuzione e prezzo. Gli infostealer distribuiti secondo un modello malware-as-a-service permettono agli attaccanti meno esperti di acquistare strumenti pronti a l’uso invece di svilupparne uno proprio, aumentando il volume di potenziali attacchi.
I consulenti per la sicurezza informatica raccomandano che organizzazioni e privati siano cauti con il codice non verificato ed evitino di eseguire software da fonti non affidabili. Gli utenti dovrebbero esaminare attentamente link e allegati nelle email, evitare di scaricare applicazioni non autorizzate e mantenere tutele di sicurezza aggiornate per ridurre il rischio di compromissione da minacce come SantaStealer.