New SantaStealer malware steals data from browsers, crypto wallets

2 minute de lecture

Mis à jour : December 16, 2025

L’émergence de SantaStealer : un nouveau voleur d’informations en mémoire

Un nouveau logiciel malveillant de type malware-as-a-service (MaaS) appelé SantaStealer est promu sur Telegram et les forums de hackers. Il se distingue par son fonctionnement en mémoire afin d’éviter la détection basée sur les fichiers. Selon les chercheurs en sécurité de Rapid7, il s’agit d’une nouvelle identité pour un projet antérieur nommé BluelineStealer. Ce logiciel est proposé sous forme d’abonnement mensuel, avec une offre de base à 175$ et une offre Premium à 300$.

Les analyses menées par Rapid7 révèlent que SantaStealer, malgré ses prétentions, n’est pas aussi indétectable que son développeur le suggère. Des erreurs notables, comme la présence de noms de symboles et de chaînes non chiffrées dans des échantillons ayant fuité, suggèrent une sécurité opérationnelle perfectible chez les acteurs malveillants.

Le logiciel est conçu avec un panneau de configuration intuitif permettant aux utilisateurs de définir des cibles de vol de données spécifiques. Il dispose de 14 modules distincts qui collectent des informations en mémoire, les archivent dans un fichier ZIP, puis les exfiltrent par morceaux de 10 Mo vers un point de commande et contrôle (C2) via le port 6767.

Points clés :

Type de menace : Logiciel malveillant voleur d’informations (InfoStealer), proposé en tant que service (MaaS).
Mode opératoire : Fonctionne en mémoire pour échapper à la détection basée sur les fichiers.
Vendeur : Développeur russophone, opérant via Telegram et des forums underground.
Prix : Offres mensuelles Basic (175$) et Premium (300$).
Détection : Actuellement considéré comme détectable et analysable par les chercheurs en sécurité.
Fonctionnalités : Vol de données à partir de navigateurs, applications de messagerie (Telegram, Discord), plateformes de jeu (Steam), portefeuilles de cryptomonnaies, documents, et capture d’écran.
Techniques spécifiques : Utilise un exécutable intégré pour contourner les protections App-Bound Encryption de Chrome.
Options de configuration : Permet d’exclure des systèmes de la région de la CEI (Communauté des États Indépendants) et de retarder l’exécution.
Méthodes de distribution potentielles : Attaques ClickFix, hameçonnage (phishing), logiciels piratés, téléchargements via torrent, malvertising, commentaires trompeurs sur YouTube.

Vulnérabilités exploitées (implicites) :

Mécanismes de vol de données dans les navigateurs et applications.
Contournement des protections de sécurité spécifiques (ex: App-Bound Encryption de Chrome).

Recommandations :

Vérifier attentivement les liens et les pièces jointes dans les e-mails provenant de sources inconnues.
Éviter d’exécuter du code non vérifié provenant de dépôts publics pour les extensions.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

New SantaStealer malware steals data from browsers, crypto wallets

L’émergence de SantaStealer : un nouveau voleur d’informations en mémoire

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast