Santa Stealer выходит на рынок MaaS и усиливает атаки на российские компании
Новый вредонос Santa Stealer
В центре киберугроз Solar 4RAYS исследовали новый вирус Santa Stealer, который нацелен на массовую кражу учетных записей, криптовалютных активов и корпоративной информации. В компании сообщили, что вредонос распространяется по модели Malware-as-a-Service и ориентируется на российские организации. Эксперты обнаружили атаку на промышленное предприятие в марте 2026 года, когда злоумышленники заставили сотрудника самостоятельно запустить вредоносный код через переход на фишинговый сайт под видом проверки "капчи" Cloudflare. Такой подход стал отправной точкой для распространения стилера и дал возможность преступникам получить доступ к чувствительным данным предприятия.
Механизм атаки вируса
По данным аналитиков, Santa Stealer доставлялся через Go-дроппер, который запускал вредонос исключительно в оперативной памяти процесса, не оставляя файлов на диске. Такой метод усложняет обнаружение вируса стандартными средствами защиты и делает атаку более скрытной для системы. Исследователи также отметили, что функция самоликвидации в коде стилера отключена для систем из стран СНГ, так как кампания изначально направлена на российские организации. Вредонос в первую очередь анализирует браузерные данные, включая сохранённые пароли, куки и сессии, что повышает риск повреждения корпоративной инфраструктуры.
Опасность для криптовладельцев
Santa Stealer представляет особую угрозу для владельцев криптовалюты, поскольку активно ищет файлы и данные, связанные с кошельками и расширениями браузеров. Такой сбор информации может привести к прямой краже цифровых активов и потере контроля над учетными данными. Эксперты Solar 4RAYS изучили панель управления стилера и установили, что вокруг вредоноса создан полноценный преступный сервис: гибкая тарификация подписок, возможность глубокой кастомизации и распространение через MaaS. Это делает продукт привлекательным для киберпреступников, которые стремятся монетизировать украденные данные.
Новые методы маскировки
Исследователи отметили появление в новой версии Santa Stealer функции туннелирования трафика через Cloudflare WARP и WireGuard. Эта технология позволяет скрывать реальный адрес командного сервера внутри легитимных UDP-пакетов, что дополнительно усложняет обнаружение вредоносной активности на уровне сети. В качестве резервного канала связи стилер использует страницы в Telegram и Mastodon, откуда извлекает актуальные доменные адреса хакеров. Такой подход создает устойчивую инфраструктуру для управления вредоносом и повышает эффективность атак как против рядовых пользователей, так и против корпоративных систем.
Экспертная оценка угрозы
Аналитик вредоносного ПО Solar 4RAYS Никита Прямухин отметил, что злоумышленники вывели сервис на новый уровень комплексности и масштабируемости. Он заявил: "Santa Stealer - не очередной рядовой инфостилер, а зрелая MaaS-платформа. Ее связка с централизованной инфраструктурой управляющих C2-серверов может означать, что покупатель подписки не является единственным потребителем украденных данных". В его оценке подчеркивается стратегическая направленность разработчиков стилера на расширение криминальной экосистемы и повышение доходности атак благодаря доступности вредоноса на нелегальных рынках.
Подписывайтесь на наш канал в MAX: все главные новости о финансах, ничего лишнего!
