新型SantaStealer恶意软件会从浏览器和加密货币钱包中窃取数据

2025-12-22 04:13:34 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： SantaStealer是一种新型信息窃取恶意软件，通过恶意软件即服务模式销售，计划于2025年底发布。该软件从浏览器和加密货币钱包窃取敏感数据，以内存方式运行以避开基于文件的检测，并将窃取数据压缩分割后通过未加密HTTP发送到C2服务器。尽管宣传为完全未被检测，但Rapid7发现了未混淆样本，揭示了其模块化设计和反分析技术。文章提供了详细技术分析和防御建议，包括避免点击不明链接和运行未经验证代码。 综合评分： 87 文章分类： 恶意软件,威胁情报,漏洞分析

SantaStealer 的技术分析

在读过开发者对 SantaStealer 功能的宣传后，读者可能会好奇这些功能在技术层面上是如何实现的。在这里，我们将探讨其中一个 EXE 样本（SHA-256 以 926a… 开头），因为尝试用 rundll32.exe 执行 DLL 构建时遇到了 C 运行时初始化问题。不过，DLL 构建（例如 SHA-256 以 1a27… 开头）仍然可用于静态分析和与 EXE 的交叉引用。

目前，检测和跟踪这些有效载荷相对简单，因为恶意软件配置和 C2 服务器 IP 地址都以纯文本形式嵌入在可执行文件中。然而，如果 SantaStealer 真如其竞争力所宣称的那样并实现某种形式的加密、混淆或反分析技术（如 Lumma 或 Vidar 所示），这些任务对分析人员来说可能就不那么简单了。深入了解 SantaStealer 所使用的模式和方法可能会有所裨益。

结论

SantaStealer 恶意软件正在积极开发中，预计将在本月余下时间或 2026 年初发布。我们对泄露版本的分析显示，其采用了与开发者描述相符的模块化、多线程设计。SantaStealer 在其 Telegram 频道中描述的一些改进在我们能够分析的样本中有所体现，但并非全部。例如，该恶意软件已转向完全无文件的采集方式，模块和用于 Chrome 解密的 DLL 都以内存加载并执行。另一方面，在网页面板中宣称的窃取工具的反分析和隐蔽能力仍然非常基础且业余化，只有第三方的 Chrome 解密器载荷在一定程度上被隐藏。

为避免感染 SantaStealer，建议注意不明链接和电子邮件附件。提防伪装成人类验证或技术支持的指示，要求你在计算机上运行命令。最后，避免从未经验证的来源运行任何类型的代码，例如盗版软件、游戏作弊工具、未经验证的插件和扩展。

保重，别上坏孩子名单！