Thought Leadership
Kurz vor den Feiertagen ist eine neue Schadsoftware aufgetaucht, die gezielt den Namen und die Symbolik der Weihnachtszeit nutzt.
Sicherheitsforscher haben einen neuen sogenannten Infostealer identifiziert, der unter dem Namen SantaStealer verbreitet wird. Entwickelt wurde die Software von einer russischsprachigen Cybercrime Gruppe und wird offen über Telegram sowie einschlägige Untergrundforen verkauft.
Vom Testprojekt zum marktreifen Cyberwerkzeug
Bereits vor einigen Wochen war SantaStealer in Entwicklerkreisen als unfertiges Projekt beworben worden. Inzwischen gilt die Schadsoftware als einsatzbereit und wird aktiv angeboten. Fachleute sprechen von einem weiteren Beispiel für die zunehmende Professionalisierung der Cyberkriminalität, bei der Schadsoftware ähnlich wie kommerzielle Softwareprodukte vermarktet wird.
Angriffsziel Windows Systeme
SantaStealer richtet sich ausschließlich gegen Windows Rechner und soll auf Systemen von Windows 7 bis Windows 11 lauffähig sein. Technisch handelt es sich um ein in der Programmiersprache C entwickeltes Datendiebstahlprogramm, das ohne zusätzliche Abhängigkeiten auskommt. Sicherheitsanalysten gehen davon aus, dass es sich um eine Weiterentwicklung oder Umbenennung eines bereits bekannten Schädlings handelt.
Besonders problematisch ist die Arbeitsweise der Software. Sie operiert vollständig im Arbeitsspeicher und hinterlässt keine klassischen Dateien auf der Festplatte. Dadurch entzieht sie sich vielen herkömmlichen Schutzmechanismen wie Virenscannern oder Endpoint Detection Lösungen.
Nach einer erfolgreichen Infektion sammelt SantaStealer eine Vielzahl sensibler Informationen. Dazu zählen Zugangsdaten, Dokumente, Inhalte aus Krypto Wallets sowie Daten aus gängigen Anwendungen. Die erbeuteten Informationen werden anschließend komprimiert und an einen Kontrollserver übertragen. Nach Angaben von Rapid7 erfolgt die Übertragung bislang unverschlüsselt, was auf eine noch relativ einfache technische Umsetzung hindeutet.
Cybercrime als Dienstleistungsmodell
Angeboten wird SantaStealer nach dem Prinzip Malware as a Service. Interessenten können zwischen mehreren Preismodellen wählen, darunter monatliche Abonnements sowie eine lebenslange Lizenz. Zum Leistungsumfang gehören unter anderem ein webbasiertes Kontrollpanel, flexible Konfigurationsmöglichkeiten und die Auswahl einzelner Datensammelmodule.
Auffällig ist auch eine Funktion zur gezielten Einschränkung der Opferauswahl. Nutzer können einstellen, dass bestimmte Sprachräume oder Regionen nicht angegriffen werden. Diese Option ist bei Schadsoftware aus diesem Umfeld eher ungewöhnlich und deutet auf eine bewusste Marktstrategie hin.
Trotz der umfangreichen Vermarktung bewerten Experten einige der beworbenen Schutzmechanismen als eher rudimentär. Zwar wirbt die Gruppe mit Tarnfunktionen und Analyseabwehr, doch viele dieser Maßnahmen gelten als technisch einfach umgesetzt. Das deutet darauf hin, dass die Schadsoftware künftig weiterentwickelt werden könnte.
Schutzmaßnahmen für Nutzer und Unternehmen
Sicherheitsforscher raten dazu, insbesondere in der Vorweihnachtszeit wachsam zu sein. Unbekannte Links und E Mail Anhänge sollten grundsätzlich gemieden werden. Vorsicht ist auch bei vermeintlichen Sicherheitsabfragen oder technischen Anweisungen geboten, die zur Ausführung von Befehlen auf dem eigenen Rechner auffordern.
Zusätzlich empfiehlt es sich, keine Programme aus unsicheren Quellen zu starten. Dazu zählen raubkopierte Software, inoffizielle Erweiterungen oder vermeintliche Zusatztools. Aus Sicht von Sicherheitsexperten gewinnt zudem die Überwachung von Systemverhalten und Speicheraktivitäten weiter an Bedeutung, um moderne Schadsoftware frühzeitig zu erkennen.
