Santa Stealer: скрытая кража данных через MaaS-экосистему
В марте 2026 года специалисты зафиксировали атаку на российское промышленное предприятие, в ходе которой применялось ранее неизвестное вредоносное ПО — Santa Stealer. Этот инструмент объединяет передовые техники скрытного проникновения, модульный сбор конфиденциальных данных и отлаженную бизнес-модель Malware-as-a-Service (MaaS), что превращает его в серьёзную и многослойную угрозу. Santa Stealer не просто крадёт информацию — он встроен в экосистему, где украденные учётные записи немедленно поступают на подпольный рынок для перепродажи.
ClickFix и бесфайловый go-dropper: как начинается атака
Первичное заражение реализуется с помощью техники ClickFix. Жертву перенаправляют на подконтрольный phishing-сайт, который имитирует стандартную проверку CAPTCHA. От сотрудника требуется выполнить «верификацию» — скопировать и запустить предложенную команду PowerShell. Именно эта команда инициирует загрузку основного payload.
Доставка происходит через скомпрометированный, но легитимный ресурс, что затрудняет блокировку на уровне сетевых политик. Роль загрузчика выполняет go-dropper, который работает полностью в памяти, не оставляя следов на диске. Такой подход сводит к минимуму шансы обнаружения классическими антивирусными средствами, ориентированными на анализ файловой системы.
Модульная архитектура: 13 шагов до полной компрометации
Ключевая особенность Santa Stealer — чётко выстроенная цепочка из 13 последовательных модулей, каждый из которых отвечает за сбор определённого типа данных. Вредоносное ПО сканирует память и конфигурационные файлы приложений, извлекая информацию без взаимодействия с защищёнными хранилищами на диске. Среди целей:
- учётные данные корпоративных VPN-клиентов;
- регистрационные данные облачных сред и сервисов;
- криптовалютные кошельки;
- популярные веб-браузеры, откуда похищаются токены доступа, пароли и автоматически сохранённые формы.
Особо стоит выделить анализ памяти браузера в реальном времени. Вместо того чтобы обращаться к зашифрованным базам данных на жёстком диске, Santa Stealer выцепляет сессионные токены и учётные данные непосредственно из оперативной памяти процесса. Это позволяет обходить защиту, которая реагирует на подозрительные операции с файлами.
Маскировка и уход от обнаружения
Для сокрытия коммуникации с управляющими серверами зловред туннелирует трафик через Cloudflare WARP, маскируя C2-трафик под легитимные соединения с инфраструктурой Cloudflare. Адреса командных центров не зашиты в теле программы — они извлекаются динамически с помощью метода Dead Drop Resolver. Вредонос обращается к заранее подготовленным страницам на открытых платформах, таких как Telegram и Mastodon, где в определённых полях или публикациях закодированы домены C2.
Эксфильтрация данных также отличается высокой гибкостью: используется несколько каналов, которые могут динамически переключаться между различными серверами. Вся передача имитирует обращения к популярным web-сервисам, что значительно затрудняет распознавание аномалий сетевыми системами мониторинга.
MaaS-экосистема: crypto-clipper, перехват в реальном времени и загрузка в память
Santa Stealer продаётся по модели Malware-as-a-Service: покупателям за плату предоставляют кастомные сборки с широким набором опциональных возможностей. В их числе:
- crypto-clipper — модуль, отслеживающий буфер обмена и подменяющий скопированные адреса криптовалютных кошельков на кошельки атакующего;
- конфигурация перехвата в реальном времени — позволяет извлекать учётные данные и токены непосредственно в момент их использования браузером;
- отражённая загрузка PE (reflective PE loading) — техника внедрения и выполнения кода в памяти легитимных процессов, не прибегая к записи на диск и не создавая подозрительных дочерних процессов.
Таким образом, даже в скомпрометированной среде Santa Stealer минимизирует своё присутствие на уровне артефактов, оставаясь практически незаметным для многих EDR-решений.
Монетизация и двойная угроза
Экономическая модель Santa Stealer не ограничивается разовой продажей вредоносного ПО. Конфигурация зловреда предусматривает ведение детального журнала собранных данных, который затем используется для перепродажи украденных учётных записей на теневых площадках. По имеющейся информации, сам разработчик участвует в распространении скомпрометированных аккаунтов, полученных через экосистему своего продукта.
Главная опасность заключается в двойной угрозе, порождаемой сочетанием мощного инструментария кражи и централизованных платформ сбыта. Одна успешная атака не только наносит прямой ущерб организации, но и запускает цепочку перепродаж доступа, в ходе которой конфиденциальные данные могут быть использованы множеством злоумышленников для дальнейших вторжений, финансового мошенничества и шпионажа.
Выводы
Santa Stealer демонстрирует эволюцию современных стилеров: глубокая интеграция с памятью процессов, отказ от файловых следов, динамическое разрешение C2 через социальные платформы и активная монетизация через MaaS. Промышленные предприятия, ставшие мишенью этой кампании, должны учитывать, что традиционных периметровых и файловых проверок уже недостаточно — требуется многоуровневый анализ поведения в памяти и сетевого трафика, а также повышенное внимание к фишинговым схемам, эксплуатирующим доверие сотрудников к привычным CAPTCHA-сценариям.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



