Ancaman malware kembali berkembang dengan munculnya SantaStealer, sebuah malware pencuri data berbasis malware-as-a-service (MaaS) yang kini dipromosikan secara aktif di Telegram dan forum peretas. Malware ini diklaim berjalan sepenuhnya di memori untuk menghindari deteksi berbasis file, meskipun analisis awal menunjukkan klaim tersebut belum sepenuhnya terbukti.
Peneliti keamanan dari Rapid7 mengungkapkan bahwa SantaStealer merupakan hasil rebranding dari proyek lama bernama BluelineStealer. Pengembangnya, yang diduga berasal dari komunitas berbahasa Rusia, tengah meningkatkan aktivitas promosi menjelang peluncuran penuh sebelum akhir tahun. Layanan ini ditawarkan melalui skema berlangganan, dengan paket Basic seharga USD 175 per bulan dan paket Premium USD 300 per bulan.
Klaim Canggih, Implementasi Masih Lemah
Berdasarkan analisis terhadap sejumlah sampel SantaStealer serta akses ke panel afiliasi miliknya, Rapid7 menemukan bahwa malware ini memang dibekali berbagai mekanisme pencurian data. Namun, kemampuan untuk menghindari deteksi dan analisis yang dijanjikan dalam promosi belum terlihat pada versi yang beredar saat ini.
Para peneliti menilai bahwa sampel yang bocor masih mudah dianalisis, bahkan menyertakan nama simbol dan string yang tidak dienkripsi. Kondisi ini mengindikasikan kesiapan operasional yang belum matang serta praktik keamanan operasional yang lemah dari pihak pengembang.
Panel Konfigurasi Fleksibel untuk Penyerang
SantaStealer dilengkapi panel berbasis web dengan antarmuka yang relatif ramah pengguna. Melalui panel ini, operator dapat menyesuaikan payload sesuai target, mulai dari pencurian data skala penuh hingga konfigurasi ringan yang hanya menargetkan jenis informasi tertentu.
Secara teknis, malware ini menggunakan 14 modul pengumpulan data yang berjalan dalam thread terpisah. Data curian disimpan sementara di memori, dikompresi ke dalam arsip ZIP, lalu dikirim keluar dalam potongan berukuran 10 MB ke server command-and-control melalui port khusus.
Data Sensitif Jadi Target Utama
Modul-modul SantaStealer dirancang untuk mencuri berbagai jenis informasi sensitif, termasuk:
- Kredensial browser seperti kata sandi, cookie, riwayat penelusuran, dan kartu kredit tersimpan
- Data aplikasi komunikasi seperti Telegram, Discord, dan Steam
- Dompet kripto dan ekstensi terkait
- Dokumen pengguna serta tangkapan layar desktop
Malware ini juga memanfaatkan executable tertanam untuk melewati mekanisme App-Bound Encryption di Google Chrome, fitur keamanan yang diperkenalkan pada pertengahan 2024 dan telah menjadi target banyak malware pencuri informasi.
Distribusi Masih Belum Jelas
Hingga kini, SantaStealer belum didistribusikan secara masif dan belum sepenuhnya operasional. Metode penyebarannya masih belum diketahui secara pasti. Namun, tren terbaru menunjukkan pelaku kejahatan siber kerap menggunakan teknik ClickFix, di mana korban ditipu untuk menempelkan perintah berbahaya ke terminal Windows mereka sendiri.
Metode lain yang umum digunakan meliputi phishing, perangkat lunak bajakan, unduhan torrent, iklan berbahaya, serta komentar menyesatkan di platform video.
Imbauan Keamanan
Rapid7 mengimbau pengguna untuk lebih waspada terhadap tautan dan lampiran email yang tidak dikenal, serta menghindari menjalankan kode atau ekstensi dari repositori publik yang tidak diverifikasi. Langkah pencegahan dasar ini dinilai masih menjadi pertahanan paling efektif terhadap ancaman malware pencuri data yang terus berevolusi.