SantaStealer adında yeni bir kötü amaçlı hizmet olarak bilgi hırsızı yayımlandı ve Telegram ile yeraltı siber suç forumlarında satışa sunuluyor. Güvenlik araştırmacıları, aracı BluelineStealer olarak bilinen önceki bir projenin yeniden markalanmış halefi olarak tanımladılar. Geliştiriciler, 2025 sonu öncesinde kötü amaçlı yazılımı siber suçlulara tanıtıyor, abonelik tarzı erişim ve ömür boyu lisanslar sunuyor.
SantaStealer, Windows sistemlerinde 7’den 11’e kadar olan sürümlerde çalışmak üzere tasarlanmıştır ve antivirüs ile uç nokta koruma araçları tarafından geleneksel dosya tabanlı tespit edilmekten kaçınmak için büyük ölçüde hafızda çalışır. Aracın geliştiricileri tarafından çalınan verileri komut-kontrol sunucularına sızdırarak geniş bir hassas bilgi yelpazesini toplayabilen bir araç olarak reklam edilmektedir. Araştırmacılar ve analistler, bu tür bir tehdidin, saldırganlar için giriş engellerini azaltan ticari bir modele doğru kötü amaçlı yazılım ekosisteminin evrimini yansıttığını belirtti.
Rapid7 Labs Bir siber güvenlik araştırma kuruluşu olan bir şirket, kötü amaçlı yazılım operatörlerinin başlangıçta projenin hâlâ geliştirilmekte olduğunu gözlemlediklerini, ancak yakın zamanda üretime hazır ilan edilip resmi olarak piyasaya sürüldüğünü belirtti. Operatörler, bu aracı kendi operasyonları için kullanmak isteyen bağlı kuruluşları ve alıcıları çekmek amacıyla Telegram kanalları ve Rusça yeraltı forumları kullanıyor. Bu tür mesajlaşma platformlarının dağıtım için kullanılması, tehdit aktörlerinin yasa dışı araçları tanıtmak ve satmak için kolayca erişilebilir sosyal uygulamaları kullandığı bir eğilimi sürdürmektedir.
SantaStealer sunumu, gerçek yazılım abonelik modellerine benzeyen birden fazla fiyatlandırma katmanı içeriyor. Temel erişim yaklaşık aylık 175 USD fiyatında, premium abonelik ücreti yaklaşık 300 USD ve ömür boyu lisans yaklaşık 1.000 USD fiyatındadır. Bu fiyatlar, müşterilerin kötü amaçlı yazılımın davranışını yapılandırmasına ve çalınan veri toplamasını yönetmesine olanak tanıyan bir web paneline erişim de içeriyor.
Araştırmacılar, SantaStealer’ın özelliklerinin modüler veri toplama imkanı sağladığını, ayrı bileşenlerin tarayıcı kimlik bilgilerini, belgeleri ve kripto para cüzdanlarını hedeflediğini söyledi. Popüler tarayıcılardan şifre ve çerezler toplamanın yanı sıra, kötü amaçlı yazılım mesajlaşma uygulamalarından, oyun platformlarından ve enfekte makinelerdeki diğer yerel olarak depolanan bilgilerden veri toplayabilir. Toplanan dosyalar sıkıştırılır ve tahliye edilmesini kolaylaştırmak için parçalar halinde uzak sunuculara gönderilir.
Operatörler gelişmiş kaçınma ve anti-analiz yetenekleri iddia etse de, Rapid7 tarafından analiz edilen ilk örneklerde şifrelenmemiş dizileri ve savunucuların analiz etmesini kolaylaştıran dışa aktarma sembolleri içeriyordu. Güvenlik uzmanları, bunun cesur pazarlama iddialarına rağmen, kötü amaçlı yazılımın henüz daha olgun tehditlere özgü gelişmiş gizlilik özelliklerine sahip olmadığını gösterdiğini belirtti.
SantaStealer’ın gelişimi, geleneksel hackleme araçlarını ticari dağıtım ve fiyatlandırma modelleriyle harmanlayan profesyonel kötü amaçlı yazılım hizmetlerine doğru daha geniş bir siber suç kayışını ortaya koyuyor. Kötü amaçlı yazılım hizmet modeli altında dağıtılan bilgi çalıcıları, daha az deneyimli saldırganlara kendi araçlarını geliştirmek yerine hazır araçları satın almasına olanak tanır ve potansiyel saldırıların hacmini artırır.
Siber güvenlik danışmanları, kuruluşların ve bireylerin doğrulanmamış kodlara karşı dikkatli olmalarını ve güvenilmez kaynaklardan yazılım çalıştırmaktan kaçınmalarını önerir. Kullanıcılar, e-postalardaki bağlantıları ve ekleri dikkatlice incelemeli, yetkisiz uygulamalar indirmekten kaçınmalı ve SantaStealer gibi tehditlerin tehlikeye uğrama riskini azaltmak için güncel güvenlik korumalarını korumalıdır.