【安全资讯】新型信息窃取木马SantaStealer现身，目标直指凭证与加密货币钱包

概要：

随着网络犯罪即服务（CaaS）模式的盛行，新型恶意软件的开发与销售日益猖獗。近日，一款名为SantaStealer的模块化信息窃取木马在Telegram等地下论坛公开售卖，其开发者声称该恶意软件能够绕过最严格的反病毒软件，对政府、金融机构等高价值目标构成直接威胁。尽管当前版本在反分析能力上存在明显缺陷，但其窃取敏感凭证和加密货币钱包的核心功能，使其成为勒索软件团伙等网络犯罪分子的理想初始入侵工具。

主要内容：

安全公司Rapid7的研究人员在本月初首次发现并分析了SantaStealer。该恶意软件是一个64位的DLL文件，包含超过500个导出符号，其函数和变量名称清晰可读，且未进行任何字符串加密或代码混淆，使得安全分析人员能够轻易理解其功能模块，如“payload_main”、“check_antivm”等。这种缺乏反分析和规避能力的现状，可能与研究人员捕获的是早期版本有关。

SantaStealer实际上是此前名为Blueline Stealer的恶意软件的“品牌重塑”版本，由两名使用“Cracked”和“Furix”作为代号的开发者运营。其基础版本月租为175美元，高级版本则为300美元。该恶意软件主要通过Telegram频道和俄语黑客论坛Lolz进行推广，其控制面板使用苏联国家代码“.su”的顶级域名，并支持配置不针对俄语受害者，暗示了运营者的背景。

从技术细节看，SantaStealer正朝着无文件收集的方向发展，其模块和Chrome解密器DLL均在内存中加载执行，有助于规避基于文件的检测。在窃取用户数据（包括敏感文档、浏览器保存的凭证和加密货币钱包信息）后，恶意软件会将其压缩并分割成10MB的块，然后通过未加密的HTTP协议发送到命令与控制（C&C）服务器。

尽管当前样本易于分析，但信息窃取木马是勒索软件攻击链的关键一环，能有效为后续的加密勒索或数据泄露攻击铺平道路。Rapid7已发布相关的入侵指标（IoC），建议用户警惕不明链接和邮件附件，并提防要求运行命令的虚假人工验证或技术支持指令，以防范此类威胁。