(https://i.postimg.cc/cCHqcZLR/Santa-Cat.png) (https://postimg.cc/LYr0Hcf5)
Un nuevo programa malicioso de robo de información (stealer), ofrecido como servicio (MaaS) y llamado SantaStealer, se está anunciando en Telegram y foros de hackers, destacando su capacidad para operar en la memoria del sistema y así evitar la detección por parte de los antivirus.
Según investigadores de seguridad de Rapid7, se trata de una versión renovada de un proyecto llamado BluelineStealer, y su desarrollador está intensificando las operaciones de cara a su lanzamiento, previsto para antes de finales de año.
SantaStealer parece ser obra de un desarrollador de habla rusa y se ofrece en dos modalidades de suscripción: Básica, por 175 dólares al mes, y Premium, por 300 dólares al mes.
Anuncio de SantaStealer
(https://www.bleepstatic.com/images/news/u/1220909/2025/December/plans.jpg)
Rapid7 analizó varias muestras de SantaStealer y obtuvo acceso al panel web de los afiliados, lo que reveló que el malware incluye múltiples mecanismos de robo de datos, pero no cumple con la característica anunciada de evadir la detección y el análisis.
"Las muestras que hemos visto hasta ahora distan mucho de ser indetectables o difíciles de analizar", afirman los investigadores de Rapid7 en un informe publicado hoy.
"Si bien es posible que el actor malicioso detrás de SantaStealer aún esté desarrollando algunas de las técnicas anti-análisis o anti-antivirus mencionadas, la filtración de muestras antes de que el malware esté listo para su uso en producción —con nombres de símbolos y cadenas sin cifrar— es un error garrafal que probablemente frustre gran parte del esfuerzo invertido en su desarrollo e indica una deficiente seguridad operativa por parte del o los actores maliciosos", añade Rapid7.
El panel presenta un diseño intuitivo donde los "clientes" pueden configurar sus versiones con objetivos específicos, desde el robo de datos a gran escala hasta cargas útiles mínimas que solo buscan datos concretos.
Opciones de configuración del panel
(https://www.bleepstatic.com/images/news/u/1220909/2025/December/configuration.jpg)
SantaStealer utiliza 14 módulos de recopilación de datos distintos, cada uno ejecutándose en su propio hilo, escribiendo los datos robados en la memoria, archivándolos en un archivo ZIP y luego exfiltrándolos en fragmentos de 10 MB a un punto final de comando y control (C2) predefinido a través del puerto 6767.
Los módulos se dirigen a información del navegador (contraseñas, cookies, historial de navegación, tarjetas de crédito guardadas), datos de Telegram, Discord y Steam, aplicaciones y extensiones de billeteras de criptomonedas y documentos. El malware también puede tomar capturas de pantalla del escritorio del usuario.
El malware utiliza un ejecutable integrado para eludir las protecciones de cifrado de aplicaciones de Chrome, introducidas por primera vez en julio de 2024 y que ya han sido eludidas por varios programas de robo de información activos.
Otras opciones de configuración permiten a sus operadores excluir sistemas en la región de la Comunidad de Estados Independientes (CEI) y retrasar la ejecución para engañar a las víctimas con un período de inactividad.
Dado que SantaStealer no está completamente operativo ni se ha distribuido masivamente, se desconoce cómo se propagará. Sin embargo, últimamente los ciberdelincuentes parecen preferir los ataques ClickFix, en los que se engaña a los usuarios para que peguen comandos peligrosos en su terminal de Windows.
El phishing, el software pirata o las descargas de torrents también son métodos de distribución comunes, al igual que la publicidad maliciosa y los comentarios engañosos en YouTube.
Rapid7 recomienda a los usuarios que verifiquen los enlaces y archivos adjuntos en los correos electrónicos que no reconozcan. También advierten sobre la ejecución de código no verificado de repositorios públicos para extensiones.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/new-santastealer-malware-steals-data-from-browsers-crypto-wallets/