В тени Санты: утечка образцов нового инфостилера раскрывает его скромные возможности

Однако реальность, раскрытая в результате анализа утекших образцов, оказалась далека от громких заявлений. Эксперты Rapid7 получили доступ к неупакованным и необфусцированным образцам SantaStealer, что позволило провести их детальный разбор. Оказалось, что авторы допустили грубую ошибку в операционной безопасности. Скомпилировав основной модуль в виде DLL-библиотеки, они оставили все имена функций и глобальных переменных в экспортной таблице исполняемого файла. Это, по всей видимости, было непреднамеренным следствием архитектурного решения, но значительно упростило анализ.

В частности, исследователи легко идентифицировали статически скомпонованные сторонние библиотеки: ультралегкий JSON-парсер cJSON, библиотеку сжатия miniz и библиотеку для работы с SQLite3. Еще более показательной находкой стал конфигурационный файл вредоноса, хранящийся в виде открытой JSON-строки. В нем, помимо настроек, содержался баннер с Unicode-артом, изображающим название «SANTA STEALER», и прямая ссылка на Telegram-канал продвижения t[.]me/SantaStealer.

Изучение этого канала и связанной с ним партнерской веб-панели позволило собрать дополнительные детали. Создатели заявляют о продвинутых возможностях, включая методы противодействия анализу, обход антивирусного ПО и целевое внедрение в госучреждения или корпоративные сети. Соответственно, установлена и высокая цена: базовая версия оценивается в $175 в месяц, а премиум-вариант - в $300. Однако техническая реализация этих обещаний в проанализированных образцах выглядит крайне сырой и далекой от заявленного уровня «полной необнаруживаемости».

Технический анализ одного из EXE-образцов показал стандартную для подобных стилеров последовательность действий. После запуска вредонос проверяет конфигурацию на предмет задержки выполнения и проверки региона. Интересно, что в настройках сборки, доступных в веб-панели, аффилиату предоставляется возможность самостоятельно выбрать, будет ли программа избегать кражи данных у пользователей из стран СНГ. Если эта опция включена и обнаруживается русская раскладка клавиатуры, стилер создает пустой файл с именем «CIS» и завершает работу.

Далее следует базовая проверка на наличие виртуальной машины или отладчика. Реализация этой функции варьируется в разных образцах, что указывает на стадию активной разработки. Одна из проверок, например, ищет черный список процессов и подозрительные имена компьютеров, а также директории, характерные для анализа, такие как «C:\analysis». Другая проверяет время работы системы, количество процессов и наличие служб VirtualBox.

Основная функциональность по краже данных реализована по модульному принципу. После обхода антивирусных проверок создается несколько потоков, каждый из которых отвечает за сбор определенного типа информации. Всего в образце обнаружено 14 модулей. Специализированные модули нацелены на кражу данных из десктопных приложений Telegram, Discord, Steam, а также браузерных расширений, истории и паролей. Универсальные модули собирают документы, скриншоты и переменные окружения. Все собранные файлы временно хранятся в памяти, а через 45 секунд упаковываются в ZIP-архив.

Отдельного внимания заслуживает механизм кражи паролей из браузеров на базе Chromium. Для обхода механизма AppBound Encryption (ABE) SantaStealer использует встроенный исполняемый файл, который либо сбрасывается на диск, либо выполняется непосредственно в памяти. Этот файл, в свою очередь, содержит зашифрованную с помощью алгоритма ChaCha20 DLL-библиотеку. Анализ строк и логики позволяет с умеренной уверенностью утверждать, что данный компонент heavily based on heavily основан на открытом проекте ChromElevator, который использует технику reflective process hollowing для внедрения кода в легитимный процесс браузера и последующего получения ключей шифрования.

Финальный этап - отправка данных. Собранный ZIP-архив разбивается на фрагменты по 10 МБ и отправляется на командный сервер через незашифрованное HTTP-соединение на порт 6767. В запросах используются лишь несколько специальных заголовков, включая уникальный идентификатор сборки и опциональный тег для различения кампаний.

В заключение, SantaStealer представляет собой типичный пример вредоносного ПО-услуги, находящегося в активной, но неаккуратной разработке. Его модульная и многопоточная архитектура соответствует современным тенденциям, а переход к файл-лесс (fileless) выполнению некоторых компонентов указывает на стремление усложнить детектирование. Тем не менее, примитивные методы анти-анализа, открытые строки и конфигурация, а также утечка символов откровенно демонстрируют низкий уровень операционной безопасности разработчиков. Пока что обнаружение и анализ этих образцов не представляют сложности для специалистов. Для защиты пользователям рекомендуется проявлять бдительность к незнакомым ссылкам и вложениям, избегать запуска непроверенного кода из пиратского ПО, игровых читов или сомнительных расширений.

IPv4 Port Combinations

• 31.57.38.244:6767
• 80.76.49.114:6767

SHA256

• 1a277cba1676478bf3d47bec97edaa14f83f50bdd11e2a15d9e0936ed243fd64
• 48540f12275f1ed277e768058907eb70cc88e3f98d055d9d73bf30aa15310ef3
• 4edc178549442dae3ad95f1379b7433945e5499859fdbfd571820d7e5cf5033c
• 5c51de7c7a1ec4126344c66c70b71434f6c6710ce1e6d160a668154d461275ac
• 5db376a328476e670aeefb93af8969206ca6ba8cf0877fd99319fa5d5db175ca
• 66fef499efea41ac31ea93265c04f3b87041a6ae3cd14cd502b02da8cc77cca8
• 73e02706ba90357aeeb4fdcbdb3f1c616801ca1affed0a059728119bd11121a4
• 926a6a4ba8402c3dd9c33ceff50ac957910775b2969505d36ee1a6db7a9e0c87
• 99fd0c8746d5cce65650328219783c6c6e68e212bf1af6ea5975f4a99d885e59
• 9b017fb1446cdc76f040406803e639b97658b987601970125826960e94e9a1a6
• a8daf444c78f17b4a8e42896d6cb085e4faad12d1c1ae7d0e79757e6772bddb9
• abbb76a7000de1df7f95eef806356030b6a8576526e0e938e36f71b238580704
• ad8777161d4794281c2cc652ecb805d3e6a9887798877c6aa4babfd0ecb631d2
• e04936b97ed30e4045d67917b331eb56a4b2111534648adcabc4475f98456727
• f81f710f5968fea399551a1fb7a13fad48b005f3c9ba2ea419d14b597401838c