¡Ho, ho, ho! SantaStealer sale a la caza de tus contraseñas y billeteras de criptomonedas
Un visitante silencioso ya está en el umbral; detectarlo es más difícil de lo que parece.
Antes de las fiestas de fin de año, en las plataformas clandestinas suelen aparecer herramientas nuevas para el robo de datos, y en esta ocasión en Telegram y en foros de hackers se promociona activamente SantaStealer. Se presenta como un programa malicioso que opera en memoria para ser detectado con menos frecuencia por las soluciones de seguridad, pero los primeros análisis muestran que la realidad es más modesta que las afirmaciones.
La empresa Rapid7 informa que SantaStealer parece ser un rebranding del proyecto BluelineStealer y que el desarrollador acelera la preparación para el lanzamiento antes de que termine el año. Según los autores del informe, las muestras filtradas contienen muchas pistas para el análisis, incluidas cadenas legibles y nombres de símbolos, lo que indica una débil disciplina operativa y dificulta los intentos de ocultación. En las variantes estudiadas, Rapid7 no observó la evasión rápida y fiable de la detección que sugiere la publicidad.
Según el acceso al panel de socios, a los "clientes" se les ofrece generar compilaciones con distinta profundidad de robo de datos —desde una versión universal hasta configuraciones adaptadas a tipos concretos de información. Internamente SantaStealer utiliza 14 módulos de recolección que se ejecutan en paralelo: los datos se escriben en memoria, luego se empaquetan en ZIP y se envían al servidor de control en porciones de 10 MB a través del puerto 6767.
Los objetivos son típicos de familias similares: contraseñas, cookies, historial, tarjetas bancarias guardadas en navegadores, datos de Telegram, Discord y Steam, aplicaciones y extensiones de monederos de criptomonedas, así como documentos. Además, incluye capturas de pantalla del escritorio.
Se destaca además que el stealer emplea un componente ejecutable integrado para eludir la función Chrome App-Bound Encryption, aparecida en julio de 2024 y ya atacada por otros stealers activos. En la configuración también existe una exclusión de sistemas de los países de la CEI y un retraso en el arranque para confundir a la víctima con una pausa de inactividad.
No se ha registrado aún una difusión masiva de SantaStealer, por lo que la vía de entrega sigue abierta. Rapid7 plantea escenarios con ClickFix, cuando se persuade al usuario de pegar un comando peligroso en el terminal de Windows, así como los esquemas clásicos mediante phishing, software pirateado, torrents, publicidad maliciosa y comentarios engañosos en YouTube.
Como protección básica, Rapid7 aconseja comprobar con más atención los enlaces y los archivos adjuntos de correos inesperados y no ejecutar código no verificado procedente de repositorios públicos al instalar extensiones.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla