SantaStealer là một malware đánh cắp thông tin mới nhắm trực tiếp vào ví tiền điện tử, được rao bán theo mô hình “malware-as-a-service” và tập trung trích xuất dữ liệu riêng tư liên quan đến tài sản số.
Các nhà nghiên cứu của Rapid7 cho biết SantaStealer có dấu hiệu là phiên bản đổi thương hiệu của BluelineStealer, hiện đang được quảng bá trên Telegram và các diễn đàn ngầm, kèm gói thuê bao theo tháng và lời quảng cáo “né antivirus” nhưng thực tế còn nhiều điểm yếu.
- SantaStealer nhắm ví crypto (Exodus) và tiện ích mở rộng trình duyệt (MetaMask) để lấy dữ liệu nhạy cảm.
- Malware cũng đánh cắp dữ liệu trình duyệt, nền tảng nhắn tin (Telegram, Discord), tài liệu cục bộ, ảnh chụp màn hình.
- Rapid7 đánh giá mẫu hiện tại còn “thô”, dễ phân tích, trái với tuyên bố né phân tích và tàng hình.
SantaStealer nhắm trực tiếp vào ví tiền điện tử và dữ liệu trình duyệt
SantaStealer tập trung đánh cắp dữ liệu từ ứng dụng ví crypto như Exodus và tiện ích mở rộng như MetaMask, đồng thời thu thập thông tin trình duyệt để truy cập các dữ liệu liên quan tài sản số.
Theo Rapid7, mục tiêu chính là dữ liệu riêng tư gắn với tài sản số, đặc biệt ở các ví và môi trường trình duyệt nơi người dùng lưu trữ, truy cập và ký giao dịch. Ngoài Exodus và MetaMask, malware còn tập trung vào dữ liệu trình duyệt như mật khẩu, cookie, lịch sử duyệt web và thông tin thẻ tín dụng đã lưu.
SantaStealer cũng mở rộng phạm vi sang các nền tảng nhắn tin như Telegram và Discord, cùng dữ liệu Steam và tài liệu cục bộ. Malware có khả năng chụp ảnh màn hình desktop, giúp kẻ tấn công thu thêm thông tin đăng nhập, seed phrase hiển thị trên màn hình hoặc các thao tác giao dịch.
Cơ chế hoạt động gồm giải mã, tiêm mã vào trình duyệt và trích xuất khóa
SantaStealer tải hoặc thả một executable nhúng, sau đó giải mã và tiêm mã vào trình duyệt để truy cập các khóa/ dữ liệu được bảo vệ và thu thập thông tin nhạy cảm.
Rapid7 mô tả SantaStealer sử dụng một thành phần thực thi nhúng để giải mã và tiêm code vào trình duyệt. Cách tiếp cận này nhằm vượt các lớp bảo vệ và mở đường truy cập dữ liệu nhạy cảm, bao gồm các khóa cần thiết để truy cập ví hoặc dữ liệu liên quan ví lưu trong trình duyệt.
Dữ liệu bị đánh cắp được gom theo module, nén ZIP và gửi về máy chủ C2
SantaStealer chạy nhiều module thu thập dữ liệu song song, nén dữ liệu vào file ZIP và exfiltrate theo từng phần 10 MB tới máy chủ điều khiển (C2) được hardcode qua cổng 6767.
Mỗi module của SantaStealer hoạt động trong một thread riêng, cho phép thu thập nhiều nhóm dữ liệu cùng lúc. Dữ liệu bị lấy cắp được ghi vào bộ nhớ, sau đó nén thành các gói ZIP để chuẩn bị gửi đi.
Rapid7 cho biết quá trình exfiltration được thực hiện theo từng khối 10 MB và chuyển tới máy chủ command-and-control được hardcode sẵn, dùng port 6767. Chi tiết này giúp đội phòng thủ theo dõi mạng có thêm chỉ báo (IOC) ở cấp độ kết nối, dù kẻ tấn công có thể thay đổi hạ tầng trong các chiến dịch sau.
Malware tìm cách vượt Chrome App-Bound Encryption nhưng không phải “bất khả xâm phạm”
SantaStealer hướng tới việc vượt Chrome App-Bound Encryption (giới thiệu tháng 7/2024) để lấy dữ liệu ví trong trình duyệt, nhưng Rapid7 nhận định nhiều infostealer khác cũng đã vượt qua cơ chế này.
Để lấy dữ liệu ví lưu trong trình duyệt, SantaStealer nhắm vào cơ chế Chrome App-Bound Encryption. Rapid7 lưu ý cơ chế này được Chrome đưa vào tháng 7/2024, tuy nhiên đã có nhiều malware dạng infostealer đánh bại, cho thấy đây không phải “tấm khiên tuyệt đối” cho dữ liệu người dùng.
Điểm đáng chú ý là SantaStealer được quảng bá với khả năng né tránh và tàng hình “tổng lực”, nhưng Rapid7 đánh giá các mẫu hiện tại không tương xứng: dễ phân tích, lộ symbols và chuỗi ký tự đọc được. Điều này gợi ý quá trình phát triển vội và OPSEC yếu.
“Khả năng chống phân tích và tàng hình của stealer được quảng cáo trong web panel vẫn rất cơ bản và nghiệp dư, chỉ có payload giải mã Chrome của bên thứ ba là được che giấu phần nào.”
– Milan Spinka, Rapid7, trích từ bài phân tích Rapid7
SantaStealer được rao bán dạng thuê bao và cho phép tùy biến bản build
SantaStealer đang được quảng bá trên Telegram/diễn đàn ngầm như dịch vụ thuê bao: gói cơ bản 175 USD/tháng và gói Premium 300 USD/tháng, kèm panel cho phép tùy biến phạm vi dữ liệu đánh cắp.
Rapid7 cho biết SantaStealer được chào bán theo mô hình malware-as-a-service (MaaS). Mức giá niêm yết gồm gói Basic 175 USD mỗi tháng và gói Premium 300 USD, phản ánh cách “thương mại hóa” malware ngày càng phổ biến.
Panel dành cho affiliate được mô tả là “bóng bẩy”, cho phép tùy chỉnh bản build: hoặc đánh cắp toàn bộ, hoặc chỉ tập trung vào dữ liệu ví và trình duyệt. Ngoài ra còn có tùy chọn loại trừ khu vực CIS (Cộng đồng các Quốc gia Độc lập) và thiết lập trì hoãn thời điểm thực thi.
Con đường lây nhiễm chưa rõ ràng, nhưng ClickFix và các kênh phổ biến vẫn là rủi ro chính
SantaStealer chưa lan rộng và chưa rõ cơ chế phát tán chính, nhưng các chiến dịch gần đây thường lợi dụng ClickFix và các kênh quen thuộc như phishing, phần mềm lậu, torrent, malvertising và bình luận YouTube lừa đảo.
Rapid7 cho biết SantaStealer chưa bùng phát quy mô lớn, vì vậy cách phát tán chủ đạo vẫn chưa được xác định. Dù vậy, các chiến dịch gần đây có xu hướng dùng ClickFix, nơi nạn nhân bị lừa tự dán lệnh độc hại vào Windows terminal.
Ngoài ClickFix, các con đường phát tán khác vẫn rất phổ biến: email phishing, phần mềm bẻ khóa, torrent, malvertising, và các bình luận YouTube mang tính đánh lừa. Rủi ro đặc biệt cao với người dùng crypto vì thói quen cài tiện ích mở rộng, dùng tool “hỗ trợ” giao dịch và tải file từ nguồn không kiểm chứng.
Khuyến nghị bảo mật ưu tiên cho người dùng ví tiền điện tử
Để giảm rủi ro trước infostealer như SantaStealer, người dùng crypto nên tránh link/đính kèm lạ, không chạy mã không xác minh và hạn chế cài plugin/extension không rõ nguồn gốc.
Các nhà nghiên cứu khuyến nghị người dùng cảnh giác với liên kết và tệp đính kèm không rõ ràng, đặc biệt trong bối cảnh malware nhắm tới ví crypto và dữ liệu trình duyệt. Thói quen “tải nhanh”, “cài nhanh” từ nguồn không chính thống thường là điểm khởi đầu của lây nhiễm.
Khuyến nghị cụ thể nhấn mạnh việc không chạy code chưa được xác minh từ các nguồn như phần mềm lậu, cheat game, plugin và extension không kiểm chứng. Với người dùng tiền điện tử, đây là các kịch bản dễ dẫn tới rò rỉ seed phrase, cookie phiên đăng nhập, mật khẩu quản lý ví và dữ liệu giao dịch.
Những câu hỏi thường gặp
SantaStealer là gì và nhắm vào đối tượng nào?
SantaStealer là malware đánh cắp thông tin (infostealer) được bán theo mô hình dịch vụ thuê bao, nhắm vào người dùng ví tiền điện tử và người dùng trình duyệt có lưu dữ liệu liên quan tài sản số.
SantaStealer có đánh cắp dữ liệu ngoài ví tiền điện tử không?
Có. Ngoài dữ liệu ví, malware còn nhắm tới mật khẩu, cookie, lịch sử duyệt web, thông tin thẻ đã lưu trong trình duyệt, dữ liệu Telegram/Discord, Steam, tài liệu cục bộ và có thể chụp ảnh màn hình.
SantaStealer truyền dữ liệu bị đánh cắp đi bằng cách nào?
Theo mô tả của Rapid7, dữ liệu bị đánh cắp được ghi vào bộ nhớ, nén thành ZIP và gửi đi theo từng phần 10 MB tới máy chủ C2 hardcode qua port 6767.
Những cách phát tán nào thường gặp với loại malware như SantaStealer?
Các kênh phổ biến gồm ClickFix (lừa nạn nhân dán lệnh độc hại), phishing email, phần mềm lậu, torrent, malvertising và bình luận YouTube mang tính lừa đảo.
Người dùng crypto nên làm gì để giảm rủi ro?
Tránh nhấp link lạ, không mở tệp đính kèm không rõ nguồn, không chạy code chưa xác minh (đặc biệt từ phần mềm lậu, cheat game, plugin/extension không kiểm chứng) và thận trọng với các hướng dẫn yêu cầu dán lệnh vào terminal.