Aus BluelineStealer wird SantaStealer als Malware-as-a-Service SantaStealer klaut Passwörter und Wallets im Abo-Model

Anbieter zum Thema

sysob IT-Distribution GmbH & Co. KG

Fsas Technologies GmbH

FTAPI Software GmbH

SantaStealer ist der Nachfolger von BluelineStealer und wird als Malware-as-a-Service (MaaS) über Telegram und Untergrundforen vermarktet. Rapid7 zeigt, wie der Infostealer Browser-Credentials, Wallets und Dokumente sammelt, Daten in segmentierten Uploads an fest kodierte C2-Endpunkte exfiltriert und dank Webpanel samt Funktionsmarketing Affiliates bedient.

Rapid7 verortet die Verteilung der Malware in Telegram-Kanälen und im russisch­sprachigen Forum lolz[.]live. OSINT ordnet SantaStealer einer Umbenennung von BluelineStealer zu. Ein Webpanel dient als Affiliate-Oberfläche für Registrierung, Feature-Übersicht, Build-Optionen und Preisgestaltung. Rapid7 nennt Preise von 175 US-Dollar pro Monat für eine Basisvariante und 300 US-Dollar pro Monat für eine Premiumvariante. Das Panel kombiniert Funktions­mar­ke­ting mit einer integrierten Funktion zur Detektionsprüfung hochgeladener Dateien, was in Entwicklungs- und Testphasen als Feedback-Kanal für Betreiber und Affiliates fungiert.

Künstliche Intelligenz als Waffe

Rekordanstieg bei automatisierten Cyberangriffen

Artefakte, Konfiguration und Anti-Analyse-Logik

Rapid7 identifiziert Anfang Dezember 2025 ein Windows-Artefakt, das eine generische Infostealer-Regel triggerte. Die Analyse beschreibt eine 64-Bit-DLL mit sehr vielen Export-Symbolen und unverschlüsselten Strings, was die statische Auswertung erleichtert. In den Exporten finden sich Hinweise auf Funktionsblöcke für Payload-Initialisierung, Anti-VM-Prüfungen und Browser-Zielauswahl.

Zusätzlich liegen Konfigurationsdaten als JSON im Binärformat vor, inklusive Banner, Telegram-Verweis und Steuerparametern für Verzögerung und Länderfilter. Ein optionaler CIS-Check nutzt GetKeyboardLayoutList zur Erkennung russischer Tastaturlayouts und beendet die Ausführung bei aktivierter Sperre, ergänzt um eine Marker-Datei mit dem Namen "CIS". Anti-VM-Varianten prüfen Prozess- und Systemmerkmale, Working-Directory-Blacklists, VirtualBox-Services über OpenServiceA mit "VBoxGuest", Uptime und zeitbasierte Debugger-Indikatoren.

Cyberkriminelle greifen nach digitalen Identitäten

Alarmierender Anstieg von gestohlenen Zugangsdaten

Credential-Diebstahl, Modularchitektur und Exfiltration

SantaStealer greift Browser-Passwörter, Cookies und gespeicherte Zahlungsdaten ab und adressiert für Chromium-Browser AppBound Encryption. Dafür nutzt der Code ein ein­ge­bet­te­tes Zusatzprogramm, das je nach Sample auf Datenträger schreibt oder direkt im Speicher ausführt. Dieses Programm entschlüsselt eine weitere DLL aus Ressourcen über zwei ChaCha20-Läufe mit getrennten Key- und Nonce-Paaren und ruft Exporte auf, die auf einen ChromeElevator-Workflow hindeuten. Rapid7 ordnet diesen Teil mit mittlerer Sicherheit einer Implementierung zu, die per direktem Syscall und reflektivem Prozess-Hollowing Code in Browser-Prozesse injiziert, um Schlüsselmaterial für die ABE-Entschlüsselung im Kontext des kompromittierten Prozesses zu gewinnen.

Parallel nutzt SantaStealer eine modulare Thread-Struktur, sammelt Artefakte speicherbasiert, schreibt nach einer Wartephase die aggregierten Dateien als ZIP unter "Log.zip" in das TEMP-Verzeichnis und startet anschließend den Upload. Der Upload teilt das Archiv in 10-MB-Segmente und sendet diese über unverschlüsseltes HTTP an einen festen Endpunkt auf Port 6767. Rapid7 nennt als beobachtete C2-Adressen 31[.]57[.]38[.]244:6767 und 80[.]76[.]49[.]114:6767. HTTP-Header enthalten einen Build-Bezeichner im Feld auth und eine Kampagnenmarkierung im Feld w, ergänzt um complete für das letzte Segment.

Neuer Rust-basierter Infostealer entdeckt

Warnung vor „EddieStealer“ mit Tarnung als CAPTCHA-Prüfung

(ID:50665236)