Santastealer: Weihnachtliche Windows-Malware meidet russische Systeme
Auch Cyberkriminelle beschenken sich manchmal gegenseitig zu Weihnachten . Doch dafür brauchen sie natürlich erstmal etwas, was sie verschenken können. An dieser Stelle kommt eine neue Infostealer-Malware namens Santastealer ins Spiel. Denn die sammelt allerhand Daten von infizierten Windows-Geräten und übermittelt sie pünktlich zum Weihnachtsfest an einen vom Angreifer kontrollierten Server.
Entdeckt wurde Santastealer von Sicherheitsforschern von Rapid7. Laut Blogbeitrag der Forscher(öffnet im neuen Fenster) wird die Malware von russischsprachigen Akteuren auf Telegram und in Hackerforen beworben. Sie basiert wohl auf einem früheren Infostealer-Projekt namens Blueline Stealer.
Bei Santastealer handelt es sich um eine MaaS-Operation (Malware as a Service). Cyberkriminelle können den Infostealer also gegen Bezahlung für eigene Angriffe verwenden – und das ab 175 US-Dollar pro Monat. Wer 300 US-Dollar pro Monat zahlt, bekommt noch ein paar Premium-Features obendrauf.
Schutzmechanismen eher "amateurhaft"
Die Forscher zweifeln jedoch daran, dass der Malware-Entwickler tatsächlich alles liefert, was er verspricht. So sei Santastealer etwa entgegen der Behauptungen des Anbieters "keineswegs unerkennbar oder in irgendeiner Weise schwer zu analysieren" . Zumindest treffe dies auf die untersuchten Proben zu, die die Forscher diesbezüglich als "amateurhaft" bezeichnen. Dass der Infostealer noch entsprechend optimiert wird, ist aber nicht auszuschließen.
Zu den von Santastealer eingesammelten Informationen zählen laut Rapid7 unter anderem Cookies, Kreditkartendaten, Browserverläufe und Anmeldedaten für Kryptowallets und andere Tools. Die Datenexfiltration erfolgt unverschlüsselt über HTTP sowie blockweise in Paketen zu je maximal 10 MByte. Um einer dateibasierten Erkennung zu entgehen, zielt die Malware darauf ab, vollständig aus dem Arbeitsspeicher heraus zu operieren.
Russische Tastaturlayouts schützen
Wie schon zuvor bei anderen Malware-Stämmen beobachtet , meidet Santastealer russische Angriffsziele. Die Malware erkennt den Angaben zufolge im Rahmen der Infektion russische Tastaturlayouts auf dem jeweiligen Zielsystem und bricht daraufhin die Ausführung ab. Gleiches passiert, wenn die Malware beispielsweise feststellt, dass sie in einer VM oder einer Analyseumgebung läuft.
Da Santastealer noch sehr neu ist, ist unklar, wie genau der Infostealer auf die Windows-Systeme der Opfer gelangt. Die Rapid7-Forscher empfehlen, auf gängige Malware-Verbreitungswege zu achten – etwa E-Mails mit verdächtigen Links und Anhängen sowie illegale Softwaredownloads und Cheats für Videospiele, die häufig Schadcode enthalten.