SantaStealerは、感染したデバイスやブラウザから機密情報を盗み出すために設計された「情報窃取型マルウェア(インフォスティーラー)」です。
新しいものではなく、2025年12月にはすでに観測されていたものです。
このSantaStealer、単に継続して観測されているというだけでなく、機能が強化されてきています。
内容を見てみましょう。
- 暗号資産(仮想通貨)標的の拡大
従来のブラウザ保存型ウォレットだけでなく、主要なデスクトップ型ウォレットアプリや、多数のブラウザ拡張機能(拡張ウォレット)を網羅的に検出・窃取するコードが追加され、情報収集の範囲が大幅に拡大しました。 - 通信のセカンダリメカニズム(冗長化)
メインのC2(コマンド&コントロール)サーバーとのプライマリルートでの通信がブロックや遮断によって継続困難になった場合、あらかじめ組み込まれたバックアップ用の通信経路(セカンダリメカニズム)へ自動で切り替える機能が実装されました。これにより、セキュリティ製品による通信遮断をすり抜けてデータを送信し続ける持続性を得ています。 - 暗号化対策の回避(App-Bound Bypass)
Google Chromeの比較的新しい保護機能である「App-Bound Encryption(アプリ限定暗号化)」をバイパス(回避)する機能を実装し、従来のインフォスティーラーでは破れなかった暗号化パスワードの奪取を可能にしています。 - モジュール構造の効率化
内部コンポーネントが細分化され、標的環境のシステム情報、SNS、ゲームアカウント、重要ファイルを効率よく切り分けて収集・圧縮する能力が向上しました。 - MaaS(サービスとしてのマルウェア)の洗練
攻撃者向けの管理パネルが整備され、プランに応じたカスタマイズが容易になったことで、より広範囲かつ迅速に攻撃キャンペーンを展開できるよう進化しています。
SantaStealerは、初期の技術的な脆弱性を克服し、通信の遮断に耐えるセカンダリメカニズムや、暗号資産への標的拡大など、より執拗で実効性の高いマルウェアへと進化してきています。
特に、従来の防御策をバイパスする機能や通信の冗長化により、一度侵入を許すと情報の完全な流出を防ぐことが極めて困難になっています。
このため、組織や個人は、侵入される前の段階(フィッシング対策や不審なファイルの排除)における厳格な初期防御と、異常な通信を即座に検知する体制の構築が強く求められます。
SantaStealer expands its collection capabilities and strengthens infrastructure resilience
https://iqblack.com/insight/santastealer-expands-its-collection-capabilities-and-strengthens/
| この記事をシェア |
|
|---|
