Er is een nieuwe malware-als-een-service infostealer genaamd SantaStealer uitgebracht en wordt te koop aangeboden op Telegram en ondergrondse cybercrimeforums. Beveiligingsonderzoekers hebben de tool geïdentificeerd als een hernoemde opvolger van een eerder project genaamd BluelineStealer. De ontwikkelaars promoten de malware aan cybercriminelen voorafgaand aan het einde van 2025, met abonnementsachtige toegang en levenslange licenties.
SantaStealer is ontworpen om op Windows-systemen te draaien van versie 7 tot en met 11 en draait grotendeels in het geheugen om traditionele bestandsdetectie door antivirus- en endpointbeschermingstools te vermijden. De tool wordt door de ontwikkelaars gepromoot als in staat om een breed scala aan gevoelige informatie te verzamelen door gestolen gegevens te exfiltreren naar command-and-control-servers. Onderzoekers en analisten zeiden dat dit type dreiging de evolutie van het malware-ecosysteem weerspiegelt richting een commercieel model dat de drempels voor aanvallers verlaagt.
Rapid7 Labs , een cyberbeveiligingsonderzoeksorganisatie, zei dat malware-operators aanvankelijk het project als nog in ontwikkeling zagen, maar dat het onlangs als productieklaar en officieel werd uitgebracht. Operators gebruiken Telegram-kanalen en Russischtalige ondergrondse forums om affiliates en kopers aan te trekken die geïnteresseerd zijn in het gebruik van het hulpmiddel voor hun eigen activiteiten. Het gebruik van dergelijke berichtenplatforms voor distributie zet een trend voort waarbij dreigingsactoren gemakkelijk toegankelijke sociale apps gebruiken om illegale tools te promoten en te verkopen.
Het SantaStealer-aanbod omvat meerdere prijsniveaus die lijken op legitieme softwareabonnementsmodellen. Basistoegang wordt geadverteerd op ongeveer USD 175 per maand, met een premium abonnement voor ongeveer USD 300 per maand, en een levenslange licentie beschikbaar voor ongeveer USD 1.000. Deze prijzen omvatten toegang tot een webpaneel waarmee klanten het gedrag van de malware kunnen configureren en gestolen gegevens kunnen verzamelen.
Onderzoekers zeiden dat de functies van SantaStealer modulaire gegevensverzameling mogelijk maken, met aparte componenten die zich richten op browsergegevens, documenten en cryptocurrency-wallets. Naast het verzamelen van wachtwoorden en cookies van populaire browsers, kan de malware gegevens verzamelen van berichtenapplicaties, gamingplatforms en andere lokaal opgeslagen informatie op geïnfecteerde machines. De verzamelde bestanden worden gecomprimeerd en in delen naar externe servers gestuurd om exfiltratie te vergemakkelijken.
Hoewel de operators geavanceerde ontwijkings- en anti-analysemogelijkheden claimen, bevatten vroege monsters die door Rapid7 werden geanalyseerd onversleutelde strings en exportsymbolen die het voor verdedigers gemakkelijker maken om ze te analyseren. Beveiligingsspecialisten zeiden dat dit suggereert dat, ondanks gedurfde marketingbeweringen, de malware mogelijk nog niet beschikt over geavanceerde stealth-functies die typisch zijn voor meer volwassen bedreigingen.
De ontwikkeling van SantaStealer benadrukt een bredere verschuiving in cybercriminaliteit richting professionaliseerde malwarediensten die traditionele hacktools combineren met commerciële distributie- en prijsmodellen. Infostealers die worden verspreid onder een malware-as-a-service model stellen minder ervaren aanvallers in staat kant-en-klare tools te kopen in plaats van hun eigen te ontwikkelen, waardoor het aantal potentiële aanvallen toeneemt.
Cybersecurity-adviseurs raden aan dat organisaties en individuen voorzichtig zijn met niet-geverifieerde code en het uitvoeren van software van onbetrouwbare bronnen vermijden. Gebruikers moeten links en bijlagen in e-mails nauwkeurig bekijken, het downloaden van ongeautoriseerde applicaties vermijden en up-to-date beveiligingsmaatregelen handhaven om het risico op compromittering door bedreigingen zoals SantaStealer te verkleinen.