Специалисты Solar 4RAYS разобрали кибератаку, где фальшивая проверка «Я не робот» стала точкой входа на рабочую станцию российской промышленной компании. Злоумышленники подсунули сотруднику страницу, копирующую защитный механизм Cloudflare, и уговорили его самому выполнить вредоносную команду.
Итогом стала установка стилера Santa Stealer, который массово ворует учётные данные, токены авторизации и прочую конфиденциальную информацию.
Инцидент случился в марте 2026 года. Всё началось с сайта kentuckyfiredepartment[.]com, где человеку показывали страницу с обещанием повышенной конфиденциальности и особого токена сроком 90 дней. Вместо обычной капчи посетителю предлагали открыть окно «Выполнить» комбинацией Win+R, вставить готовую команду и подтвердить запуск.
На деле команда стартовала PowerShell, который подтягивал исполняемый файл с ресурса galaktikabt[.]ru. Сайт легитимный, но к моменту атаки уже перешёл под контроль злоумышленников. После срабатывания загрузчика на машину падал Santa Stealer.
Santa Stealer, по словам экспертов, расходится по модели Malware-as-a-Service. Покупателю выдают конструктор, которым он сам собирает нужную версию и затачивает её под кампанию. Базовая версия стоит около 200 долларов, расширенная — 300 долларов, бессрочная лицензия — примерно 1000 долларов. Расширенные функции ищут документы по заданным словам, откладывают старт программы, склеивают её с легитимными файлами и подменяют адреса криптокошельков в буфере обмена жертвы.
Цепочка заражения держалась на двух компонентах — загрузчике на Go и основной программе на языке C. Первый расшифровывал полезную нагрузку и запускал её прямо в оперативной памяти, а основной файл на диск не ложился, что мешало обнаружению обычными антивирусами.
После начала работы Santa Stealer тянул сохранённые пароли браузеров, cookie-файлы, активные сессии, токены Discord и Steam, сведения из корпоративных VPN-клиентов, доступы к Azure и Google Cloud, содержимое криптокошельков и документы.
Занятной чертой образца стало отключение функции Anti-CIS. Обычно программа глохнет при виде компьютеров из стран СНГ, но здесь операторы намеренно сняли ограничение, ведь мишенью были российские организации.
Новые версии обзавелись поддержкой Cloudflare WARP и WireGuard для защищённого канала связи с управляющими серверами. Сетевой обмен выглядит как обычный трафик к инфраструктуре Cloudflare, а реальный адрес сервера прячется внутри зашифрованного туннеля. Когда основной канал пропадает, программа берёт новые адреса с заранее заготовленных страниц в Telegram и Mastodon.
Специалисты нашли связь инфраструктуры Santa Stealer с теневыми площадками, где торгуют угнанными учётными записями, прежде всего аккаунтами Roblox. Предполагаемый автор программы связан с продавцами таких данных, поэтому украденная информация способна осесть не только у заказчика атаки, но и у других участников преступной инфраструктуры.
Для защиты специалисты советовали сочетать обучение сотрудников с техническими мерами — ограничение запуска PowerShell, VBScript и исполняемых файлов из временных каталогов и папок загрузок, контроль за окном Run, решения класса EDR и XDR с активной блокировкой, а также слежение за попытками поднять VPN- и WireGuard-туннели.