Эксперты центра изучения киберугроз Solar 4RAYS, входящего в состав группы компаний «Солар» (провайдера в сфере комплексной кибербезопасности), обнаружили новую вредоносную программу под названием Santa Stealer. Этот инструмент представляет собой конвейер для массового автоматизированного хищения учетных записей и данных из популярных игровых сервисов, VPN-клиентов, хранилищ паролей, мессенджеров, криптовалютных кошельков, личных и корпоративных файлов, а также прочей конфиденциальной информации. Вредонос распространяется по модели Malware as a Service (MaaS), а его создатель взаимодействует с крупнейшими продавцами на теневых форумах, что существенно увеличивает масштаб атак и наносимый ущерб — как для обычных пользователей, так и для бизнеса.
В марте 2026 года специалисты зафиксировали атаку на российское промышленное предприятие. Злоумышленники использовали технику ClickFix (разновидность социальной инженерии, при которой жертву заставляют самостоятельно запустить вредоносный код). В данном случае сотрудника компании убедили перейти на фишинговый сайт и выполнить команду под видом прохождения проверки «капчи» от Cloudflare. В качестве «вознаграждения» ему пообещали повышенную конфиденциальность, сохранение цифрового отпечатка устройства и токен на 90 дней, который якобы избавит от необходимости повторно подтверждать свою личность. Затем доставка стилера в систему происходила через Go-дроппер, который запускал вредонос Santa Stealer исключительно в оперативной памяти, не записывая файлы на диск. Такой подход усложняет выявление угрозы стандартными защитными средствами.
Архитектура вредоноса представляет собой конвейер из десятка последовательных модулей, собирающих данные из браузерных сессий, VPN-клиентов, менеджеров паролей, криптокошельков, а также игровые токены и доступы к облачным сервисам. В списке целей стилера значатся такие популярные программы, как FileZilla, WinSCP, OpenVPN, NordVPN, ProtonVPN, KeePass, 1Password, Bitwarden, NordPass, Steam, Riot Games, Discord, Thunderbird, Outlook, TeamViewer, AnyDesk, Git for Windows, Visual Studio Code, Azure, Google Cloud. Таким образом, Santa Stealer ориентирован не только на личные аккаунты, но и на среды, где могут храниться доступы к корпоративным сервисам, удаленным подключениям, инфраструктуре и инструментам разработки. При этом встроенная в код функция самоуничтожения на системах в странах СНГ (Anti-CIS) намеренно отключена, так как кампания изначально нацелена на российские организации.
В первую очередь Santa Stealer сосредоточен на браузерных данных: истории посещений, закладках, данных автозаполнения, списках загрузок, содержимом буфера обмена, а также информации из локального и сессионного хранилищ. В этих данных могут содержаться сессионные токены и ключи доступа, позволяющие злоумышленникам войти в аккаунты пользователя без необходимости вводить пароль.
Этот стилер представляет серьёзную угрозу и для владельцев криптовалют: программа целенаправленно выискивает файлы и информацию, связанную с криптокошельками (включая Atomic, Electrum, Exodus и другие), а также их браузерными дополнениями (MetaMask, Trust Wallet, Coinbase Wallet и пр.). Вредоносное ПО не просто обнаруживает сами кошельки — оно пытается заполучить сид-фразы, резервные копии и прочие критически важные данные, дающие возможность полностью завладеть криптоактивами пострадавшего. Помимо этого, программа проверяет популярные приложения — от мессенджеров и почтовых клиентов до VPN-сервисов и менеджеров паролей, — чтобы получить доступ к корпоративным системам и удалённым подключениям.
Вредонос способен избирательно искать определённые типы файлов в пользовательских каталогах (Desktop, Documents, Downloads и аналогичных), отсеивая при этом «мусор» — рекламные и служебные данные. Такая избирательность позволяет злоумышленникам быстрее извлекать наиболее ценные сведения, включая конфиденциальную информацию и учётные записи для доступа к важным сервисам.
Специалисты Solar 4RAYS проанализировали панель управления Santa Stealer и обнаружили, что злоумышленники выстроили вокруг этого вредоноса полноценный преступный бизнес: распространение по модели Malware as a Service (MaaS), гибкую систему тарифов, высокую степень настройки сборок (от конфигурации правил отбора файлов для кражи до возможности «прикрепить» стилер к легитимному файлу или незаметно подменять в буфере обмена адреса криптокошельков на адрес атакующего). Кроме того, в новой версии вредоноса появилась возможность туннелирования трафика через Cloudflare WARP/WireGuard, что позволяет скрывать реальный адрес командного сервера внутри легитимных UDP-пакетов. В качестве резервного канала стилер обращается к подконтрольным страницам в Telegram и Mastodon, извлекая оттуда новые домены хакеров.
«Santa Stealer — это не очередной заурядный инфостилер, а зрелая MaaS-платформа. Её интеграция с централизованной инфраструктурой управляющих C2-серверов может означать, что покупатель подписки не является единственным получателем украденных данных: часть логов вполне может оседать у разработчика, посредника или любой стороны, контролирующей инфраструктуру и каналы эксфильтрации. Мы предполагаем, что подобная модель (стилер в сочетании с готовым каналом сбыта) будет вытеснять разрозненных одиночек на теневом рынке. Для жертвы это означает, что компрометация одного аккаунта с высокой вероятностью приведёт к его появлению сразу в нескольких независимых каналах перепродажи и последующим множественным атакам. Именно поэтому компаниям стоит серьёзно проработать механизмы защиты: как технические, так и уровень киберграмотности сотрудников», — отметил Никита Прямухин, аналитик вредоносного ПО центра исследования киберугроз Solar 4RAYS, ГК «Солар»
Ключевая характеристика данного стилера — он не предназначен для долговременного закрепления и старается завершить процесс кражи данных до того, как сработают защитные механизмы. Традиционные антивирусные решения могут просто не успеть заблокировать атаку на начальном этапе, особенно когда вредоносная программа активно запутывает строки, восстанавливает конфигурацию в оперативной памяти и оперативно приступает к сбору информации. В то же время такая активность хорошо поддается выявлению с помощью поведенческого анализа на основе стабильных индикаторов, подчеркивают специалисты.