يشكل برمجية SantaStealer الخبيثة الجديدة تهديدًا خطيرًا لمستخدمي أنظمة ويندوز حول العالم، حيث يتم تسويقها حاليًا بقوة عبر قنوات تيليجرام ومنتديات القرصنة تحت الأرض، مع خطط لإطلاقها بالكامل قبل نهاية عام 2025. تمثل هذه البرمجية إعادة تسمية لبرمجية BluelineStealer السابقة، مما يعكس الطبيعة المتطورة لمشهد الجريمة السيبرانية والتطور المستمر لأدوات السرقة المتطورة المصممة لجمع معلومات المستخدم الحساسة.
تتمتع برمجية SantaStealer بقدرات واسعة ومنظمة، حيث تجمع وتستخرج المستندات الحساسة، وبيانات اعتماد المستخدم، وبيانات محافظ العملات المشفرة، والمعلومات من مجموعة واسعة من التطبيقات. وتعمل البرمجية بشكل كامل في الذاكرة لتجنب الكشف القائم على الملفات، وهي ميزة حاسمة للتهرب من حلول الأمان التقليدية. بعد جمع البيانات، يتم ضغطها وتقسيمها إلى أجزاء قابلة للإدارة بحجم 10 ميجابايت، ثم إرسالها إلى خادم القيادة والتحكم عبر اتصالات HTTP غير مشفرة.
SantaStealer: تطور برمجيات سرقة المعلومات
يدعي المطورون أن البرمجية مكتوبة بالكامل بلغة C مع محرك متعدد الأشكال مخصص وقدرات كاملة لمكافحة الكشف. ومع ذلك، فقد حدد باحثو Rapid7 عينات من SantaStealer غير مشفرة وغير مبسطة، مما يوفر نظرة متعمقة على مستوى التطور الفعلي للبرمجية الخبيثة. ويكشف تحليلهم عن نقاط ضعف كبيرة في الأمن التشغيلي لدى الجهات الفاعلة في مجال التهديدات.
العدوى في الذاكرة وسرقة بيانات اعتماد المتصفح
اكتشف المحللون البرمجية بعد اكتشاف ملف تنفيذي لنظام ويندوز أدى إلى تشغيل قواعد الكشف العامة لبرمجيات سرقة المعلومات، والتي ترتبط عادةً بعائلة برمجيات Raccoon. كشف التحليل الأولي لملف DLL بـ 64 بت يحتوي على أكثر من 500 رمز مصدّر بأسماء وصفية للغاية، مثل “payload_main” و “check_antivm”، عن قدرات البرمجية على سرقة بيانات الاعتماد.
يوضح التطبيق التقني تصميمًا معياريًا حيث تقوم SantaStealer باكتشاف الأجهزة الافتراضية قبل تنفيذ حمولتها الرئيسية. ويتضمن جانب معقد بشكل خاص سرقة بيانات اعتماد المتصفح من المتصفحات المستندة إلى Chromium عن طريق تجاوز تشفير App-Bound. تحقق البرمجية ذلك عن طريق تضمين وتنفيذ أداة متخصصة تسمى ChromElevator، والتي تستخدم تقنية “process hollowing” الانعكاسية المستندة إلى استدعاءات النظام لدمج التعليمات البرمجية في عمليات المتصفح المشروعة. تسمح هذه التقنية لبرمجية السرقة بفك تشفير مفاتيح تشفير App-Bound والوصول إلى بيانات الاعتماد المخزنة دون إثارة شكوك فورية.
تخضع البيانات المسروقة لعملية ضغط في الذاكرة ويتم استخراجها عبر HTTP عادي إلى خوادم قيادة وتحكم مشفرة مسبقًا على المنفذ 6767.
تتراوح أسعار البرمجية كخدمة من 175 دولارًا شهريًا للوظائف الأساسية إلى 300 دولار للميزات المتميزة، بما في ذلك خيارات التنفيذ المخصصة وقدرات ربط الملفات.
يجب على المتخصصين في مجال الأمن البقاء يقظين ضد المرفقات غير المعروفة عبر البريد الإلكتروني وروابط التنزيل المشبوهة التي قد تنقل هذا التهديد الناشئ.