新登場のSantaStealer、認証情報や暗号通貨ウォレットを狙う

yab

2025.12.18

新登場のSantaStealer、認証情報や暗号通貨ウォレットを狙う

The Register – Tue 16 Dec 2025

Telegram上で新たなモジュール型インフォスティーラー「SantaStealer」が月額175ドルで宣伝されている。運営者は「最も厳格なアンチウイルス」を搭載したシステムや、政府機関、金融機関などのシステムでも「一切検知されずに」実行できると喧伝している。しかし、現在までに確認されたサンプルは「検出不可能」とは程遠く、分析が非常に簡単であったとのこと。

今月初めにサイバーセキュリティ企業Rapid7の研究者がこのスティーラーを発見し、分析を行った。研究者によると、ペイロードの分析・検出の回避機能が不十分であり、暗号化や難読化も実行されていないため、非常に簡単に分析できたという。とはいえ、SantaStealerもれっきとしたインフォスティーラーであり、機微文書・認証情報・仮想通貨ウォレットを狙っているため、注意が必要だと研究者は述べた。

SantaStealerのコード内の文字列の1つには、SantaStealer Telegramチャンネルへのリンクが含まれており、チャンネルではBlueline Stealerからの名称変更であるとアナウンスされていた模様。Blueline Stealerは、Telegramハンドル「@weuploaddata（表示名Cracked）」と「@furixlol（Furix）」をそれぞれ用いる匿名の開発者らによって開発・運営されていた。リリース前にスティーラーの名前を変更した理由は不明だが、キャッチーな名前で注目を集めることが目的だろうとRapid7の研究者は推測している。この活動は、2025年7月まで遡ることができ、アフィリエイトパネルによるとベーシック版は月額175ドル（約2.7万円）、プレミアム版は月額300ドル（約4.6万円）となっている。

SantaStealerはロシア語圏のハッカーフォーラム「Lolz」でも宣伝されており、Webパネルには.su（ソビエト連邦）のトップレベルドメイン名が使用されている。さらに、スティーラーはロシア語話者を攻撃しないようにしているため、運営者がロシア国籍であることが示唆されていると研究者は語った。

分析済みのサンプルによると、SantaStealerのモジュールとChromeの復号DLLはメモリ内で読み込まれ、実行されるため、ファイルベースの検出が回避可能。窃取されたユーザーデータは圧縮され、10MBのチャンクに分割後、暗号化されていないHTTP経由でC2サーバーに送信される。