Le festività natalizie portano con sé un nuovo protagonista nel panorama del cybercrimine: un malware che ruba credenziali e portafogli digitali battezzato SantaStealer. I suoi creatori, che comunicano in russo attraverso Telegram e forum underground, lo promuovono come una soluzione "completamente invisibile" anche sui sistemi più protetti, dalle istituzioni governative agli istituti finanziari. Il prezzo d'accesso per i criminali interessati parte da 175 dollari al mese per la versione base, mentre quella premium arriva a 300 dollari mensili.
Il lancio ufficiale del software malevolo è avvenuto lunedì scorso, ma la realtà dietro le promesse pubblicitarie appare ben diversa. Gli esperti di sicurezza informatica hanno già messo le mani su diversi campioni del malware, scoprendo che le capacità di occultamento vantate dai suoi sviluppatori sono largamente esagerate.
Un'arma spuntata nelle mani dei criminali
Milan Špinka, ricercatore presso Rapid7, ha pubblicato un'analisi tecnica approfondita che smonta le rivendicazioni dei creatori di SantaStealer. "I campioni che abbiamo esaminato mancano significativamente di capacità di evasione e anti-analisi, implementando solo un controllo molto basilare contro macchine virtuali e debugging", ha spiegato l'esperto al portale The Register. La struttura del codice, infatti, mantiene i nomi originali delle funzioni e delle variabili globali, senza alcuna forma di crittografia delle stringhe o offuscamento del codice.
Questa ingenuità progettuale rende l'analisi del malware "piuttosto semplice" per i professionisti della sicurezza informatica. Špinka ha però sottolineato un'incertezza importante: non è chiaro se i campioni attualmente in circolazione rappresentino le versioni più recenti di SantaStealer o se si tratti di build precedenti che stanno emergendo solo ora con un certo ritardo.
La minaccia concreta per utenti e aziende
Nonostante le carenze tecniche evidenziate, SantaStealer rappresenta comunque una minaccia reale. Questo tipo di malware infostealer costituisce infatti uno strumento privilegiato dalle organizzazioni criminali specializzate in ransomware e da altri gruppi motivati economicamente per ottenere l'accesso iniziale ai sistemi informatici delle vittime. Il software è progettato per sottrarre documenti sensibili, credenziali d'accesso e portafogli di criptovalute.
Una volta che il malware si impossessa dei dati dell'utente, li comprime e li suddivide in blocchi da 10 megabyte prima di inviarli a un server di comando e controllo attraverso connessioni HTTP non crittografate. Gli esperti raccomandano di evitare link sconosciuti e allegati email sospetti, prestando particolare attenzione alle false istruzioni di verifica umana o di supporto tecnico che richiedono l'esecuzione di comandi sul computer.
Dal progetto Blueline alla riconversione natalizia
La scoperta di una stringa di codice contenente un collegamento al canale Telegram di SantaStealer ha rivelato che il malware rappresenta in realtà un rebranding di un progetto precedente chiamato Blueline Stealer. I due sviluppatori anonimi dietro l'iniziativa utilizzano i nickname @weuploaddata (nome visualizzato "Cracked") e @furixlol (nome visualizzato "Furix"). Le attività legate a Blueline Stealer possono essere tracciate almeno fino a luglio 2025, quando gli sviluppatori condividevano prove dei dati rubati nel loro canale Telegram dedicato.
Le motivazioni del cambio di denominazione prima del lancio ufficiale rimangono oscure, anche se probabilmente fanno parte di una strategia di rebranding volta ad attirare l'attenzione attraverso un nome più accattivante e tematico. Oltre a Telegram, i creatori pubblicizzano SantaStealer anche su Lolz, un forum russo frequentato da hacker.
Indizi sull'origine russa del malware
Diversi elementi indicano la cittadinanza russa degli operatori: l'utilizzo di forum in lingua russa, il dominio di primo livello del pannello di controllo web che utilizza il codice paese dell'ex Unione Sovietica (.su), e la possibilità di configurare il malware per evitare vittime russofone. Questa caratteristica non rappresenta una novità nel mercato degli infostealer, dove la presenza di attori provenienti dalla Russia è tutt'altro che insolita.
L'analisi tecnica condotta da Rapid7 ha rilevato che il team di Špinka ha individuato SantaStealer all'inizio del mese, esaminando campioni non offuscati. Si tratta di una DLL a 64 bit contenente oltre 500 simboli esportati con nomi autoesplicativi come "payload_main", "check_antivm", "browser_names" e una "pletora" di stringhe non crittografate che indicano le capacità di furto di credenziali.
Verso un'architettura senza file
Dai campioni analizzati emerge che SantaStealer sta evolvendo verso una raccolta dati fileless, con i moduli e la DLL per la decrittazione di Chrome caricati ed eseguiti direttamente in memoria. Questa strategia aiuta il malware a evitare i sistemi di rilevamento basati sui file, rappresentando uno degli aspetti tecnicamente più sofisticati dell'intero progetto. Rapid7 ha pubblicato un elenco completo degli indicatori di compromissione per aiutare le organizzazioni a proteggersi, invitando tutti a rimanere vigili durante le festività e a "stare al sicuro fuori dalla lista dei cattivi".