Um novo infostealer de malware como serviço chamado SantaStealer foi lançado e está sendo vendido no Telegram e em fóruns clandestinos de crimes cibernéticos. Pesquisadores de segurança identificaram a ferramenta como um sucessor rebatizado de um projeto anterior conhecido como BluelineStealer. Os desenvolvedores estão promovendo o malware para cibercriminosos antes do final de 2025, oferecendo acesso por assinatura e licenças vitalícias.
SantaStealer foi projetado para rodar em sistemas Windows da versão 7 à 11 e operar principalmente na memória para evitar a detecção tradicional baseada em arquivos por antivírus e ferramentas de proteção de endpoints. A ferramenta é anunciada por seus desenvolvedores como capaz de coletar uma ampla gama de informações sensíveis ao exfiltrar dados roubados para servidores de comando e controle. Pesquisadores e analistas disseram que esse tipo de ameaça reflete a evolução do ecossistema de malware rumo a um modelo comercial que reduz as barreiras de entrada para atacantes.
Rapid7 Labs , uma organização de pesquisa em cibersegurança, disse que operadores de malware inicialmente observaram o projeto ainda em desenvolvimento, mas que ele foi recentemente declarado pronto para produção e oficialmente lançado. Os operadores estão utilizando canais do Telegram e fóruns clandestinos em russo para atrair afiliados e compradores interessados em usar a ferramenta para suas próprias operações. O uso dessas plataformas de mensagens para distribuição continua uma tendência em que atores ameaçadores utilizam aplicativos sociais facilmente acessíveis para promover e vender ferramentas ilícitas.
A oferta SantaStealer inclui múltiplos níveis de preço que se assemelham a modelos legítimos de assinatura de software. O acesso básico é anunciado por cerca de USD 175 por mês, com uma assinatura premium de cerca de USD 300 por mês, e uma licença vitalícia disponível por aproximadamente USD 1.000. Esses preços incluem acesso a um painel web que permite aos clientes configurar o comportamento do malware e gerenciar a coleta de dados roubados.
Pesquisadores disseram que os recursos do SantaStealer permitem coleta modular de dados, com componentes separados direcionados a credenciais de navegador, documentos e carteiras de criptomoedas. Além de coletar senhas e cookies de navegadores populares, o malware pode coletar dados de aplicativos de mensagens, plataformas de jogos e outras informações armazenadas localmente em máquinas infectadas. Os arquivos coletados são comprimidos e enviados para servidores remotos em blocos para facilitar a exfiltração.
Embora os operadores afirmem capacidades avançadas de evasão e anti-análise, as primeiras amostras analisadas pelo Rapid7 continham strings não criptografadas e símbolos de exportação que facilitam a análise dos defensores. Especialistas em segurança disseram que isso sugere que, apesar das ousadas alegações de marketing, o malware pode ainda não possuir recursos furtivos sofisticados típicos de ameaças mais maduras.
O desenvolvimento do SantaStealer destaca uma mudança mais ampla no cibercrime em direção a serviços de malware profissionalizados que combinam ferramentas tradicionais de hacking com modelos comerciais de distribuição e preços. Infostealers distribuídos sob um modelo de malware como serviço permitem que atacantes menos experientes comprem ferramentas prontas em vez de desenvolverem suas próprias, aumentando o volume de ataques potenciais.
Consultores de cibersegurança recomendam que organizações e indivíduos tenham cautela com códigos não verificados e evitem rodar softwares de fontes não confiáveis. Os usuários devem analisar cuidadosamente links e anexos em e-mails, evitar baixar aplicativos não autorizados e manter proteções de segurança atualizadas para reduzir o risco de comprometimento por ameaças como SantaStealer.