SantaStealer è il nuovo malware per Windows scoperto dai ricercatori di Rapid7. Ovviamente non porta regali di Natale, ma viene utilizzato per rubare numerosi dati personali dal browser e altre applicazioni. Viene pubblicizzato e venduto in abbonamento tramite un canale Telegram.
SantaStealer: infostealer natalizio
Gli sviluppatori del malware avevano inizialmente scelto il nome BluelineStealer. Dato che il lancio ufficiale è avvenuto prima di Natale è stato cambiato in SantaStealer. Il modello di distribuzione è MaaS (Malware-as-a-Service). I cybercriminali pagano un abbonamento di 175 o 300 dollari/mese in base al numero di funzionalità offerte. Il malware è scritto in linguaggio C. La versione più costosa usa un “motore polimorfico” che ostacola l’analisi del codice.
SantaStealer viene fornito con un pannello web che permette di effettuare la configurazione attivando specifiche funzionalità. Ci sono 14 moduli distinti che possono essere sfruttati per raccogliere vari tipi di dati: password, cookie, carte di credito, estensioni e cronologia di navigazione) dai browser, messaggi e altro da Telegram, Discord e Steam, credenziali dei wallet di criptovalute, documenti e appunti. Il malware può anche catturare screenshot.
È presente inoltre una specifica funzionalità che aggira la protezione App-Bound Encryption di Chrome. I singoli moduli archiviano i dati rubati in file ZIP. Successivamente vengono inviati al server controllato dai cybercriminali in blocchi da 10 MB. In questo modo, i tool che monitorano il traffico in uscita non rilevano upload sospetti.
Gli sviluppatori di SantaStealer sono russi. Una delle opzioni di configurazione consente di escludere dagli attacchi i paesi che fanno parte della Comunità degli Stati Indipendenti. La prima versione ufficiale è stata rilasciata il 16 dicembre. Gli utenti devono prestare molta attenzione alle email di phishing (link e allegati) ed evitare assolutamente il download di software pirata tramite torrent o siti web.
Ti potrebbe interessare
19 dic 2025