Kybernetickú scénu zasiahla nová hrozba s názvom SantaStealer, známa aj ako BluelineStealer. Tento škodlivý kód typu infostealer je distribuovaný formou Malware-as-a-Service (MaaS), čo umožňuje aj menej zručným útočníkom kúpiť si hotový nástroj na krádež dát. Web Vo svete IT informoval, že autori využívajú agresívny vianočný marketing na hackerských fórach, kde sľubujú špičkový výkon a nulovú detekciu antivírusovými systémami.
Marketingové sľuby však ostro kontrastujú s realitou. Bezpečnostní experti z Rapid7 Labs odhalili v raných verziách malvéru amatérske chyby. Vývojári do obehu vypustili kód bez šifrovania či maskovania (obfuskácie), pričom v ňom ponechali jasne čitateľné názvy funkcií. Toto fatálne zlyhanie v oblasti operačnej bezpečnosti (OpSec) umožnilo analytikom okamžite dešifrovať štruktúru útoku bez potreby zložitého skúmania.
Ruský pôvod malvéru
Technické stopy a konfigurácia kódu jasne ukazujú na ruský pôvod autorov. SantaStealer obsahuje algoritmus, ktorý pred spustením kontroluje lokalitu cieľového zariadenia. Ak zistí, že sa nachádza v krajinách Spoločenstva nezávislých štátov (CIS), automaticky sa deaktivuje. Tento prístup je typický pre východné kyberzločinecké skupiny, ktoré sa takto snažia vyhnúť pozornosti domácich orgánov činných v trestnom konaní.
Z hľadiska architektúry ide o modulárny softvér využívajúci bežne dostupné programátorské knižnice. Pred samotnou krádežou vykonáva dôkladnú inšpekciu hostiteľského systému. Preveruje názvy procesov, čas behu systému a prítomnosť virtualizačných nástrojov. Ak SantaStealer nadobudne podozrenie, že beží v analytickom sandboxe, okamžite proces ukončí, aby zabránil zachyteniu svojich technických vzorcov.
Najsofistikovanejšou časťou malvéru je modul zameraný na prehliadače Chromia. Pomocou techniky process hollowing sa vpašuje do legitímneho procesu prehliadača, čím dokáže obísť ochranu AppBound Encryption (ABE). Touto metódou útočníci získavajú prístup k uloženým heslám, cookies a údajom z platobných formulárov, ktoré by inak zostali pre externé aplikácie zašifrované.
SantaStealer nemá na Vianoce pekné plány
Okrem internetových prehliadačov sa SantaStealer zameriava aj na populárne aplikácie ako Discord, Telegram či Steam. Okrem prihlasovacích údajov dokáže zbierať systémové premenné, dokumenty a vytvárať snímky obrazovky. Všetky ukradnuté informácie zhromažďuje v operačnej pamäti a pred odoslaním ich komprimuje do archívu Log.zip, ktorý následne delí na menšie segmenty pre jednoduchší prenos.
Paradoxom tohto malvéru sa stáva jeho nekonzistentná kvalita. Zatiaľ čo techniky prieniku do pamäte sú relatívne pokročilé, spôsob prenosu dát k útočníkovi je podľa zdroja triviálny. SantaStealer využíva nezabezpečený protokol HTTP na porte 6767, pričom adresa riadiaceho servera je pevne zapísaná v kóde. To znamená, že po analýze jedinej vzorky môžu správcovia sietí okamžite zablokovať celú infraštruktúru útočníka.
Pre bežného používateľa predstavuje SantaStealer rovnaké riziko ako jeho sofistikovanejší konkurenti. Infekcia sa šíri najmä cez podozrivé e-mailové prílohy, „cheaty“ do hier a nelegálny softvér. Základnou ochranou zostáva obozretnosť pri sťahovaní súborov z neoverených zdrojov, používanie aktualizovaného antivírusu a aktivácia dvojfaktorovej autentifikácie, ktorá je kľúčovou bariérou aj po úspešnom odcudzení hesla.
