Santa Stealer: что известно о новом MaaS-стилере, атакующем российский бизнес и крипто-кошельки в 2026 году
2026/07/06 14:23:00

За считанные месяцы Santa Stealer превратился из локальной угрозы в полноценную преступную платформу, работающую по модели Malware-as-a-Service. Уже весной 2026 года специалисты зафиксировали атаку на промышленное предприятие в России, а к лету вредонос вышел на теневой рынок как коммерческий продукт с гибкими тарифами. Так что же такое Santa Stealer и чем он опасен? Это информационный стилер нового поколения, который крадёт пароли, сессии Telegram, VPN-доступы и данные криптовалютных кошельков, а благодаря модели MaaS его уже покупают десятки независимых злоумышленников — причём не только для атак на компании, но и для охоты на частных держателей криптовалюты. Ниже разбираем, как он работает, кого атакует и как защитить свои цифровые активы.
Что такое Santa Stealer и почему он опасен для бизнеса и частных пользователей
Santa Stealer — это зрелая MaaS-платформа для кражи данных, а не рядовой инфостилер-однодневка. К такому выводу пришли специалисты центра исследования киберугроз Solar 4RAYS группы компаний «Солар», изучившие панель управления вредоносом. Разработчик выстроил вокруг стилера полноценную бизнес-модель: гибкую тарификацию, техподдержку для «клиентов» и партнёрство с крупными продавцами на теневых форумах, что многократно расширяет охват атак.
Особенность Santa Stealer в том, что он не привязан к одному оператору. Любой желающий может арендовать доступ к платформе, настроить сборку под свои цели и запустить собственную кампанию. Именно это превращает локальную угрозу для российских компаний в потенциальную опасность для пользователей по всему миру, включая держателей криптовалюты, которые традиционно становятся приоритетной целью для операторов подобных стилеров.
Как Santa Stealer проникает в систему: механика атаки ClickFix
Основной канал заражения — техника социальной инженерии ClickFix, при которой жертва сама запускает вредоносный код, будучи уверенной, что решает техническую проблему. Атака начинается с перехода на скомпрометированный сайт или фишинговую ссылку, где пользователю показывают поддельное окно ошибки — например, сообщение о неполадке браузера или необходимости пройти проверку Cloudflare.
Как только пользователь нажимает предложенную кнопку «исправить» или «продолжить», сайт незаметно копирует вредоносную команду PowerShell в буфер обмена. Дальше жертву просят нажать комбинацию Win + R и вставить скопированный текст в открывшееся окно «Выполнить». Поскольку команду запускает сам пользователь, а не сторонний процесс, многие антивирусные решения и системы поведенческого анализа, ориентированные на связи между родительскими и дочерними процессами, такую активность пропускают.
В одном из задокументированных случаев сотрудника промышленного предприятия убедили перейти на фишинговый сайт под видом проверки капчи от Cloudflare. В качестве «награды» жертве обещали токен доверия на 90 дней, который якобы избавит от повторных проверок. На деле же запуск команды приводил к загрузке Go-дроппера, который разворачивал Santa Stealer исключительно в оперативной памяти процесса, не оставляя следов на диске.
Почему пользователи так легко попадаются на эту схему
Главная причина успеха ClickFix — иллюзия контроля. Человек считает, что сам решает проблему с браузером или сертификатом, а не выполняет команду по указанию неизвестного сайта. Такой формат обходит настороженность, которая обычно срабатывает при скачивании файлов или переходе по подозрительным ссылкам.
Какие данные крадёт Santa Stealer: от паролей до криптокошельков
Santa Stealer нацелен в первую очередь на данные, которые можно быстро монетизировать, и криптовалютные активы занимают в этом списке приоритетное место. Вредонос сканирует расширения криптокошельков в браузере, включая популярные решения вроде MetaMask, а также ищет на диске конфигурационные файлы локальных десктопных и холодных кошельков.
Помимо криптоактивов, стилер собирает:
-
пароли и сохранённые данные из браузеров, в том числе из Yandex Browser и Chrome, которые особенно распространены среди российских пользователей;
-
учётные данные для подключения к VPN-сервисам, что при утечке открывает злоумышленникам доступ к корпоративной сети целиком;
-
сессии Telegram, позволяющие обойти двухфакторную аутентификацию и получить полный контроль над аккаунтом;
-
учётные записи игровых платформ, в том числе Roblox, а также различные токены и credentials для разработческих сервисов.
Отдельного внимания заслуживает функция подмены адресов криптовалютных кошельков прямо в буфере обмена. Если жертва копирует адрес получателя при переводе криптовалюты, стилер незаметно подменяет его на адрес, принадлежащий злоумышленнику, — перевод уходит не тому получателю, а обнаружить подмену без внимательной сверки символов практически невозможно.
| Категория данных | Что именно крадёт Santa Stealer | Основной риск |
| Криптовалюта | Расширения-кошельки, конфиги холодных кошельков, подмена адресов в буфере | Прямая финансовая потеря |
| Корпоративный доступ | VPN-credentials, учётные записи внутренних сервисов | Проникновение во всю сеть компании |
| Мессенджеры | Активные сессии Telegram | Рассылка вредоносных ссылок контактам жертвы |
| Прочее | Пароли браузеров, игровые аккаунты, код-credentials | Кража личности, вторичные атаки |
Почему Santa Stealer сложно обнаружить: технологии обхода защиты
Разработчики Santa Stealer сделали ставку на скрытность, и это отличает платформу от массовых стилеров прошлых лет. Вредонос использует технику работы исключительно в памяти процесса, не создавая файлов на диске, что затрудняет обнаружение классическими антивирусными сканерами.
Кроме того, согласно разбору Solar 4RAYS, стилер применяет усложнённые методы обхода сканирования памяти Windows, а для сокрытия реального адреса командного сервера использует технику dead drop resolver — данные о боевой инфраструктуре публикуются в сообщениях Telegram и Mastodon и извлекаются вредоносом динамически. Это позволяет злоумышленникам оперативно менять инфраструктуру, не переписывая код стилера, и усложняет блокировку по IP-адресам или доменам.
В новых сборках также появилась функция туннелирования трафика через Cloudflare WARP и WireGuard, благодаря которой обмен данными с командным сервером маскируется под легитимные UDP-пакеты. Специалисты отмечают, что в коде намеренно отключён механизм самоликвидации при обнаружении систем в странах СНГ — это указывает на целевую направленность кампании именно против российского сегмента.
Ещё одна особенность платформы — высокая степень кастомизации сборок. Оператор, арендующий доступ к Santa Stealer, может самостоятельно настроить, какие именно типы файлов и учётных данных собирать, привязать вредоносный код к легитимному установочному файлу для дополнительной маскировки или выбрать конкретные шаблоны для функции подмены криптовалютных адресов. Такая гибкость делает каждую отдельную атаку немного отличной от предыдущей, что затрудняет создание универсальных сигнатур для антивирусного детектирования.
Кто уже пострадал: атаки на российские компании в 2026 году
Первые задокументированные атаки Santa Stealer пришлись на промышленные предприятия и логистические компании России. Специалисты Solar 4RAYS отмечают, что вредонос собирает данные не только из личных аккаунтов сотрудников, но и из рабочих сред, где хранятся учётные записи для доступа к корпоративным сервисам и внутренней инфраструктуре.
Выход Santa Stealer на рынок MaaS резко расширил число атакующих. Разработчик стилера наладил партнёрские отношения с крупными продавцами на теневых форумах, из-за чего один и тот же инструмент теперь применяют десятки независимых групп с разными целями — от промышленного шпионажа до банальной кражи криптовалюты у случайных жертв.
Показательно, что в задокументированном инциденте жертву убеждали перейти по ссылке под предлогом стандартной процедуры — проверки капчи от Cloudflare, с которой сталкивается почти каждый интернет-пользователь. Отсутствие явных признаков подделки резко повышает конверсию таких атак по сравнению с классическими фишинговыми письмами со ссылками на подозрительные домены или архивы с исполняемыми файлами.
Что это значит для служб безопасности компаний
Классические средства защиты, ориентированные на анализ файлов на диске или блокировку подозрительных вложений, малоэффективны против Santa Stealer именно из-за работы в памяти и отсутствия файловых артефактов. Специалистам по информационной безопасности стоит смещать фокус в сторону мониторинга аномальной активности PowerShell, ограничения доступа к диалоговому окну «Выполнить» через групповые политики и обучения сотрудников распознаванию признаков ClickFix ещё до того, как вредоносная команда окажется в буфере обмена.
Угрожает ли Santa Stealer частным пользователям и держателям криптовалюты
Да, и угроза для частных лиц продолжает расти по мере коммерциализации платформы. Хотя первая волна атак была нацелена на российские предприятия, IT-инфраструктуру и логистические компании, статус MaaS-продукта означает, что доступ к стилеру может купить любой мелкий или средний хакер — а такие операторы традиционно охотятся именно за частными держателями криптовалюты как за более лёгкой и при этом высокодоходной целью.
Защита персонального компьютера в среднем слабее корпоративных систем с их SOC-мониторингом и сегментацией сети, поэтому индивидуальные пользователи оказываются даже более уязвимы к продвинутым техникам обхода защиты, которые применяет Santa Stealer. В сочетании с скрытностью в памяти и динамической инфраструктурой через Telegram и Mastodon это делает атаку почти незаметной для рядового пользователя без специализированных средств защиты.
Должны ли вы торговать криптовалютой на KuCoin с учётом подобных угроз
Да, но важно строго разделять место хранения активов и место совершения сделок. Использование надёжной централизованной биржи вроде KuCoin для торговли не отменяет базовой цифровой гигиены — наоборот, чем активнее пользователь работает с криптовалютой, тем важнее защитить устройство, с которого он входит в аккаунт.
Перед покупкой или обменом криптовалюты на KuCoin стоит убедиться, что на устройстве включена двухфакторная аутентификация через приложение, а не только через SMS, и что список активных сессий в аккаунте регулярно проверяется. KuCoin поддерживает антифишинговый код, который отображается во всех официальных письмах и уведомлениях, — это простой способ отличить настоящее сообщение биржи от поддельного. Дополнительно рекомендуется хранить основную часть криптоактивов не в браузерных расширениях, а в аппаратном холодном кошельке, подключая его к KuCoin только на момент операции.
Такой подход снижает ущерб даже в случае заражения устройства: если стилер и получит доступ к браузеру, критичные для перевода средств данные останутся вне его досягаемости. Регистрация на KuCoin и настройка защитных функций аккаунта занимает несколько минут, а базовые меры предосторожности стоит внедрить ещё до первой сделки.
Отдельно стоит проверять устройство, с которого выполняется вход, на признаки компрометации — необычную активность браузера, незнакомые расширения или всплывающие окна с требованием «исправить» ошибку через терминал или командную строку. Если хотя бы один из этих признаков присутствует, безопаснее сменить пароли и вывести активы через проверенное устройство, прежде чем продолжать торговлю. KuCoin также позволяет настроить белый список адресов для вывода средств — эта функция особенно полезна с учётом того, что Santa Stealer способен незаметно подменять адреса кошельков в буфере обмена: если адрес получателя заранее внесён в список доверенных, вывод на посторонний кошелёк технически невозможен даже при заражённом устройстве.
Заключение
Santa Stealer — показательный пример того, как быстро локальная киберугроза превращается в масштабную коммерческую платформу. С момента выхода на рынок Malware-as-a-Service вредонос перестал быть проблемой отдельных российских компаний и превратился в инструмент, доступный широкому кругу злоумышленников по всему миру.
Ключевая опасность стилера — сочетание продвинутых техник обхода защиты, работы исключительно в памяти и скрытой инфраструктуры через Telegram и Mastodon с прицельной охотой на криптовалютные активы, включая подмену адресов кошельков в буфере обмена. Это делает Santa Stealer угрозой не только для корпоративных сетей, но и для частных держателей криптовалюты, чья защита в среднем слабее корпоративной.
Базовые правила остаются неизменными: никогда не выполнять команды, скопированные с непроверенных сайтов, хранить крупные суммы в аппаратных холодных кошельках, регулярно проверять активные сессии Telegram и внимательно сверять адреса кошельков перед каждым переводом. Соблюдение этих мер существенно снижает риск даже на фоне роста числа подобных MaaS-угроз.
Часто задаваемые вопросы
Что именно может украсть Santa Stealer у держателя криптовалюты?
Santa Stealer — это многофункциональный стилер, который целенаправленно ищет данные расширений криптокошельков вроде MetaMask, конфигурационные файлы локальных и холодных кошельков, а также VPN-credentials, сессии Telegram и даже игровые аккаунты и код-credentials. Отдельно вредонос способен подменять адреса криптокошельков в буфере обмена при копировании.
Как именно происходит заражение и как не попасться на эту схему?
Основной метод — фишинговая техника ClickFix. На скомпрометированном сайте или по фишинговой ссылке пользователю показывают поддельное окно ошибки с предложением «исправить» проблему. При нажатии вредоносная команда PowerShell копируется в буфер обмена, а жертву просят вставить и выполнить её через Win + R. Поскольку команду запускает сам пользователь, часть антивирусных решений это не блокирует. Правило простое: никогда не выполнять команды, скопированные с непроверенных страниц, независимо от того, как убедительно оформлено сообщение об ошибке.
Атаки нацелены на российские компании — значит ли это, что частным пользователям бояться нечего?
Нет, риск для частных лиц реален и растёт. Во-первых, после выхода на рынок MaaS доступ к стилеру покупают независимые злоумышленники, которые массово используют его против частных лиц, в первую очередь против держателей криптовалюты. Во-вторых, защита персональных компьютеров в среднем слабее корпоративной, а продвинутые техники обхода детекта делают заражение почти незаметным для рядового пользователя.
Затрагивает ли Santa Stealer конкретное ПО, распространённое среди российских пользователей?
Да. Стилер целенаправленно сканирует данные популярных среди российской аудитории браузеров, включая Yandex Browser и Chrome, а также credentials различных VPN-сервисов, которые массово используют как частные пользователи, так и компании. Утечка VPN-доступа может открыть злоумышленнику вход во всю корпоративную сеть, к которой подключена жертва.
Какие меры защиты криптоактивов стоит принять уже сейчас?
Стоит придерживаться трёх правил: никогда не выполнять команды через Win + R или терминал по требованию веб-страницы, каким бы убедительным ни был предлог; переносить крупные суммы из браузерных расширений в аппаратные холодные кошельки; регулярно проверять раздел активных сессий в настройках Telegram и немедленно завершать подозрительные подключения, поскольку Santa Stealer часто использует украденные сессии для рассылки вредоносных ссылок контактам жертвы.
