SantaStealer: модульный безфайловый стилер, продающийся как сервис

В конце декабря 2025 года на подземных каналах появилась обновлённая угроза под именем SantaStealer — вредоносное ПО, которое коммерциализируется по модели Malware-as-a-Service (MaaS). Экземпляры распространяются через Telegram-каналы и хакерские форумы; ранее проект был известен под именем «BluelineStealer».

Как было обнаружено

Первое обнаружение связано с исследованием действий, схожих с инфекциями Raccoon Stealer. Лаборатория Rapid7 зафиксировала исполняемый файл Windows, который привлёк внимание аналитиков. Один из изученных образцов имеет SHA-256, начинающийся с 1a27, и представляет собой 64‑разрядную библиотеку DLL с более чем 500 экспортированными символами — многие имена экспортов описывают функциональность, включая Credential stealing.

Технические характеристики

Анализ доступных образцов показывает следующие ключевые черты SantaStealer:

• Модульная и многопоточная архитектура, которая соответствует тому, что заявляют авторы.
• DLL‑реализация с большим числом экспортов (более 500), что указывает на набор отдельных компонентов/функций в одном бинарнике.
• Наличие модулей, явно предназначенных для кражи учётных данных, а также для взаимодействия с браузерами (включая использование стороннего Chrome decryptor).
• Схожесть поведения с ранними образцами других стиллеров, но с явным стремлением к переходу на выполнение операций полностью в памяти.

Переход к модели fileless и скрытность

Изучение вариантов SantaStealer выявило тенденцию к работе без создания традиционных файлов на диске — операции выполняются в оперативной памяти, что затрудняет их обнаружение средствами, ориентированными на файловую систему. Такой подход повышает скрытность кампаний.

По заявлению разработчиков — «модульная и многопоточная конструкция», что подтверждается внутренней структурой образцов.

В то же время методы антианализа у вредоноса выглядят недостаточно зрелыми: несмотря на fileless‑подход, только отдельные компоненты (например, сторонний Chrome decryptor) дают скромную степень маскировки и осложняют реверс-инжиниринг.

Что это означает для организаций

• Повышенный риск компрометации учётных данных пользователей и кражи сессий браузеров.
• Усложнение обнаружения атак традиционными антивирусами, ориентированными на файловые индикаторы.
• Возможность быстрой коммерциализации и масштабирования атак через Telegram и форумы — злоумышленники без глубокой технической экспертизы могут арендовать инструмент.

Рекомендации по защите

• Усилить мониторинг процессов в памяти и события, связанные с инъекцией кода; внедрить EDR‑решения, способные детектировать поведение fileless‑угроз.
• Обратить внимание на аномальные DLL с множеством экспортов и на нетипичное поведение браузеров (подозрительные обращения к локальным хранилищам, вытягивание cookies/логинов).
• Патчить уязвимости и применять принцип наименьших привилегий для сервисов и пользователей.
• Ограничить использование сторонних расширений и контролировать интеграцию сторонних decryptor/utility библиотек.
• Проводить регулярное обучение пользователей по фишингу и опасным вложениям, а также блокировать подозрительные каналы в Telegram и известные криминальные ресурсы на уровне сети.

Индикаторы компрометации (IOC)

На данный момент подтверждён только общий признак: образец с SHA-256, начинающимся с 1a27. Дополнительно следует отслеживать аномальные DLL с большим количеством экспортов и поведение, характерное для fileless инъекций и кражи учетных данных из браузеров.

SantaStealer демонстрирует сочетание модульности и стремления к скрытности, но при этом остаётся относительно примитивным по части антианализа. Это делает его привлекательным инструментом для широкого круга злоумышленников и требует повышенного внимания со стороны команд по защите информации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.