Праздник к ним приходит: как Santa Stealer ворует для хакеров аккаунты Roblox, криптовалютные активы и корпоративные секреты

03.07.2026

Специалисты центра исследования киберугроз Solar 4RAYS ГК «Солар», ведущего провайдера комплексной кибербезопасности в России, выявили новый вредонос — Santa Stealer. Он представляет собой конвейер для массовой автоматизированной кражи учётных записей и данных популярных игровых сервисов, VPN-клиентов, менеджеров паролей, мессенджеров, криптовалютных кошельков, личных и корпоративных файлов и иной конфиденциальной информации. Вредонос распространяется по модели Malware‑as‑a‑Service (MaaS), а его разработчик сотрудничает с крупнейшими продавцами на теневых форумах, что многократно увеличивает масштабы атак и сопутствующий ущерб – как для обычных пользователей, так и для компаний.

SOLAR-270x122.png

В марте 2026 года специалисты зафиксировали атаку на российское предприятие из сферы промышленности. Злоумышленники применили технику ClickFix (вид социальной инженерии, при котором пользователя вынуждают самостоятельно активировать вредоносный код). В данном случае сотрудника компании убедили перейти на фишинговый сайт и выполнить команду под видом проверки «капчи» от Cloudflare. В качестве «награды» ему обещали повышенную конфиденциальность, сохранение аппаратного отпечатка и токен на 90 дней, который якобы избавит от необходимости повторно проходить проверку. Далее доставка стилера в систему осуществлялась через Go‑дроппер, который запускал вредонос Santa Stealer исключительно в памяти процесса, без записи файлов на диск. Такой подход затрудняет обнаружение угрозы стандартными средствами защиты.

Архитектура вредоноса представляет собой конвейер из десятка последовательных модулей, которые собирают данные браузерных сессий, VPN-клиентов, менеджеров паролей, криптокошельков, а также игровые токены и облачные доступы. В списках стилера фигурируют такие популярные программы, как FileZilla, WinSCP, OpenVPN, NordVPN, ProtonVPN, KeePass, 1Password, Bitwarden, NordPass, Steam, Riot Games, Discord, Thunderbird, Outlook, TeamViewer, AnyDesk, Git for Windows, Visual Studio Code, Azure, Google Cloud. Таким образом, Santa Stealer нацелен не только на личные аккаунты, но и на окружения, где могут лежать доступы к корпоративным сервисам, удалённым подключениям, инфраструктуре и инструментам разработки. При этом заложенная в коде функция самоликвидации на системах в странах СНГ (Anti-CIS) намеренно отключена, так как кампания изначально нацелена на российские организации.

В первую очередь Santa Stealer фокусируется на браузерных данных: истории посещений, закладках, данных автозаполнения, списках загрузок, содержимом буфера обмена, а также информации из локального и сессионного хранилищ. Там могут содержаться сессионные токены и ключи доступа, позволяющие злоумышленникам войти в аккаунты пользователя без ввода пароля.

Также стилер опасен для владельцев криптовалюты: программа активно ищет файлы и данные, связанные с криптовалютными кошельками (в т. ч. Atomic, Electrum, Exodus и др.) и их браузерными расширениями (MetaMask, Trust Wallet, Coinbase Wallet и т. д.). Вредонос не просто находит сами кошельки — он стремится получить сид‑фразы, бэкапы и другие важные файлы, которые позволяют полностью завладеть криптовалютными активами жертвы. Кроме того, программа сканирует популярные приложения — от мессенджеров и почтовых клиентов до VPN‑сервисов и менеджеров паролей, — чтобы получить доступ к корпоративным сервисам и удалённым подключениям.

Вредонос умеет целенаправленно искать определённые типы файлов в пользовательских папках (Desktop, Documents, Downloads и т. п.), при этом фильтруя «шум» — рекламные и сервисные данные. Такая избирательность помогает злоумышленникам быстрее получать наиболее ценную информацию, включая конфиденциальные и учётные данные для доступа к важным сервисам.

Эксперты Solar 4RAYS изучили панель управления Santa Stealer и выявили, что злоумышленники построили вокруг вредоноса полноценный преступный бизнес: распространение по модели Malware‑as‑a‑Service (MaaS), гибкая тарификация, высокая степень кастомизации сборок (от настройки правил отбора файлов для кражи до возможности «привязать» стилер к легитимному файлу или незаметно подменять в буфере обмена адреса криптовалютных кошельков на адрес злоумышленника). Кроме того, в новой версии вредоноса появилась возможность туннелирования трафика через Cloudflare WARP/WireGuard, что позволяет скрывать реальный адрес командного сервера внутри легитимных UDP-пакетов. А в качестве резервного канала стилер обращается к подконтрольным страницам в Telegram и Mastodon, извлекая новые домены хакеров.

«Santa Stealer — не очередной рядовой инфостилер, а зрелая MaaS-платформа. Ее связка с централизованной инфраструктурой управляющих C2-серверов может означать, что покупатель подписки не является единственным потребителем украденных данных: часть логов вполне может оседать у разработчика, посредника или любой стороны, контролирующей инфраструктуру и каналы эксфильтрации. Мы предполагаем, что подобная модель (стилер плюс готовый канал сбыта) будет вытеснять разрозненных одиночек на теневом рынке. Для жертвы это означает, что компрометация одного аккаунта с высокой вероятностью обернется его появлением сразу в нескольких независимых каналах перепродажи и дальнейшими множественными атаками. Именно поэтому компаниям стоит серьезно проработать механизмы защиты: как технические, так и уровень киберграмотности сотрудников», — отметил Никита Прямухин, аналитик вредоносного ПО центра исследования киберугроз Solar 4RAYS, ГК «Солар»

Важная особенность стилера — он не рассчитан на длительное закрепление и стремится завершить эксфильтрацию раньше, чем отреагируют средства защиты. Классические антивирусы могут просто не успеть остановить цепочку на ранней стадии, особенно если вредонос активно обфусцирует строки, восстанавливает конфиг в памяти и быстро переходит к сбору данных. При этом подобная активность хорошо ложится на поведенческое детектирование по устойчивым признакам, отмечают эксперты.

Более подробные советы по защите от Santa Stealer, а также индикаторы компрометации (IoC) опубликованы в блоге центра Solar 4RAYS.



Компания-источник: ГК «Солар»