ClickFix: одна команда через Win+R — и Santa Stealer в системе.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
Эксперты Solar 4RAYS разобрали атаку, где проверка капчи привела к заражению рабочей станции российской промышленной компании. Сотрудника заманили на фишинговую страницу с имитацией Cloudflare и убедили выполнить команду через окно Win+R. После ввода команда запустила PowerShell и загрузила исполняемый файл с galaktikabt[.]ru. На компьютер попал Santa Stealer, вредоносная программа для кражи учётных данных, токенов, браузерных сессий и другой чувствительной информации.
Инцидент произошёл в марте 2026 года, говорится в отчёте Solar 4RAYS. Точкой входа стал сайт kentuckyfiredepartment[.]com, где посетителю обещали повышенную конфиденциальность и токен на 90 дней после прохождения проверки. Ресурс galaktikabt[.]ru, с которого скачивался файл, эксперты называют легитимным сайтом, ранее скомпрометированным злоумышленниками.
Santa Stealer распространяется по модели вредоносного сервиса. Покупатели получают билдер, настраивают сборку под конкретную кампанию и выбирают модули для кражи данных. В актуальной версии базовый тариф вырос до 200 долларов, премиальный остался на уровне 300 долларов, также появился бессрочный тариф за 1000 долларов. Расширенные функции позволяют искать файлы по ключевым словам, задерживать запуск, объединять стилер с легитимным файлом и подменять криптовалютные адреса в буфере обмена.
Цепочка заражения включала два компонента: дропер на Go и основную нагрузку на C. Дропер расшифровывал вредоносный код и запускал полезную нагрузку прямо в памяти процесса, без сохранения основного файла на диск. Такой приём сокращает число следов в системе и усложняет обнаружение сигнатурными средствами защиты.
Santa Stealer рассчитан на быструю кражу всего, что можно продать или использовать для дальнейших атак. Вредонос собирает данные браузеров, сессионные cookies, токены Discord и Steam, сведения из корпоративных <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>-клиентов, доступы к Azure и Google Cloud, криптокошельки, файлы и информацию о системе. В исследованном образце была отключена проверка Anti-CIS: код умеет прекращать работу на системах с признаками стран СНГ, однако оператор кампании выключил защиту, поскольку атака была направлена на российских пользователей.
В новой версии Santa Stealer получил возможность скрывать связь с командным сервером через Cloudflare WARP и WireGuard. Со стороны сетевой трафик может напоминать обычные UDP-пакеты к инфраструктуре Cloudflare, а реальный адрес управляющего сервера остаётся внутри туннеля. В качестве запасного канала вредонос обращается к подконтрольным страницам в Telegram и Mastodon, откуда извлекает новые C2-домены.
Исследователи также связали инфраструктуру Santa Stealer с перепродажей украденных аккаунтов, прежде всего Roblox. По данным Solar 4RAYS, предполагаемый разработчик стилера связан с продавцами учётных записей на теневых площадках, где происхождение товара не скрывают. Такая схема повышает риск для жертв: украденные данные могут попасть не только к покупателю вредоносного сервиса, но и к разработчику, посредникам или другим участникам инфраструктуры.
Solar 4RAYS рекомендует компаниям сочетать обучение сотрудников с техническими ограничениями запуска. Для защиты от ClickFix-атак специалисты советуют блокировать выполнение PowerShell, VBS и исполняемых файлов из временных папок, каталогов загрузок и других недоверенных директорий, контролировать запуски через RunMRU, использовать EDR или XDR с активной блокировкой подозрительного поведения, а также выявлять попытки поднять WireGuard- и VPN-туннели. После заражения одной смены пароля недостаточно: стилеры крадут активные сессии, поэтому компаниям нужно отзывать токены, сбрасывать веб-сессии, менять пароли и изолировать хост.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
Эксперты Solar 4RAYS разобрали атаку, где проверка капчи привела к заражению рабочей станции российской промышленной компании. Сотрудника заманили на фишинговую страницу с имитацией Cloudflare и убедили выполнить команду через окно Win+R. После ввода команда запустила PowerShell и загрузила исполняемый файл с galaktikabt[.]ru. На компьютер попал Santa Stealer, вредоносная программа для кражи учётных данных, токенов, браузерных сессий и другой чувствительной информации.
Инцидент произошёл в марте 2026 года, говорится в отчёте Solar 4RAYS. Точкой входа стал сайт kentuckyfiredepartment[.]com, где посетителю обещали повышенную конфиденциальность и токен на 90 дней после прохождения проверки. Ресурс galaktikabt[.]ru, с которого скачивался файл, эксперты называют легитимным сайтом, ранее скомпрометированным злоумышленниками.
Santa Stealer распространяется по модели вредоносного сервиса. Покупатели получают билдер, настраивают сборку под конкретную кампанию и выбирают модули для кражи данных. В актуальной версии базовый тариф вырос до 200 долларов, премиальный остался на уровне 300 долларов, также появился бессрочный тариф за 1000 долларов. Расширенные функции позволяют искать файлы по ключевым словам, задерживать запуск, объединять стилер с легитимным файлом и подменять криптовалютные адреса в буфере обмена.
Цепочка заражения включала два компонента: дропер на Go и основную нагрузку на C. Дропер расшифровывал вредоносный код и запускал полезную нагрузку прямо в памяти процесса, без сохранения основного файла на диск. Такой приём сокращает число следов в системе и усложняет обнаружение сигнатурными средствами защиты.
Santa Stealer рассчитан на быструю кражу всего, что можно продать или использовать для дальнейших атак. Вредонос собирает данные браузеров, сессионные cookies, токены Discord и Steam, сведения из корпоративных <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>-клиентов, доступы к Azure и Google Cloud, криптокошельки, файлы и информацию о системе. В исследованном образце была отключена проверка Anti-CIS: код умеет прекращать работу на системах с признаками стран СНГ, однако оператор кампании выключил защиту, поскольку атака была направлена на российских пользователей.
В новой версии Santa Stealer получил возможность скрывать связь с командным сервером через Cloudflare WARP и WireGuard. Со стороны сетевой трафик может напоминать обычные UDP-пакеты к инфраструктуре Cloudflare, а реальный адрес управляющего сервера остаётся внутри туннеля. В качестве запасного канала вредонос обращается к подконтрольным страницам в Telegram и Mastodon, откуда извлекает новые C2-домены.
Исследователи также связали инфраструктуру Santa Stealer с перепродажей украденных аккаунтов, прежде всего Roblox. По данным Solar 4RAYS, предполагаемый разработчик стилера связан с продавцами учётных записей на теневых площадках, где происхождение товара не скрывают. Такая схема повышает риск для жертв: украденные данные могут попасть не только к покупателю вредоносного сервиса, но и к разработчику, посредникам или другим участникам инфраструктуры.
Solar 4RAYS рекомендует компаниям сочетать обучение сотрудников с техническими ограничениями запуска. Для защиты от ClickFix-атак специалисты советуют блокировать выполнение PowerShell, VBS и исполняемых файлов из временных папок, каталогов загрузок и других недоверенных директорий, контролировать запуски через RunMRU, использовать EDR или XDR с активной блокировкой подозрительного поведения, а также выявлять попытки поднять WireGuard- и VPN-туннели. После заражения одной смены пароля недостаточно: стилеры крадут активные сессии, поэтому компаниям нужно отзывать токены, сбрасывать веб-сессии, менять пароли и изолировать хост.
- Источник новости
- www.securitylab.ru