Celestial Stealer: Ukryte zagrożenie kradzieżą danych
Table of Contents
Złodziej oparty na JavaScript, którego celem są systemy Windows
Celestial Stealer to program do kradzieży informacji napisany w JavaScript, specjalnie zaprojektowany do wydobywania poufnych danych użytkownika z systemów operacyjnych Windows 10 i 11. To zagrożenie jest aktywnie rozwijane i regularnie aktualizowane, co zapewnia jego skuteczność w stosunku do nowoczesnych zabezpieczeń. Jako Malware-as-a-Service (MaaS), Celestial jest sprzedawany w wielu konfiguracjach w ramach różnych planów płatności, co czyni go dostępnym dla szerokiego grona cyberprzestępców.
Ukryte metody i techniki zaciemniania
Ten złodziej stosuje różne techniki, aby pozostać niewykrytym. Stosuje on intensywne zaciemnianie, dodając zbędny kod do swoich skryptów, aby ukryć swój prawdziwy cel. Środki antyanalizy dodatkowo wzmacniają jego odporność na wykrycie, ponieważ jest zaprojektowany tak, aby identyfikować, kiedy jest badany w środowiskach wirtualnych lub przez specjalistów ds. cyberbezpieczeństwa. Sprawdza również konkretne nazwy urządzeń i nazwy użytkowników powiązane z badaniami bezpieczeństwa i kończy działanie lub próbuje wyłączyć procesy monitorowania, gdy jest to konieczne. Ponadto zapewnia trwałość, konfigurując się tak, aby uruchamiał się przy każdym ponownym uruchomieniu systemu.
Możliwości i ekstrakcja danych
Celestial Stealer jest wyposażony w szereg funkcji, które kradną dane użytkownika. Może wykonywać zrzuty ekranu i wyodrębniać historię przeglądania, przechowywane hasła, informacje o autouzupełnianiu, pliki cookie internetowe, a nawet zapisane numery kart kredytowych z przeglądarek internetowych opartych na Chromium i Gecko. Złodziej rozszerza swój zasięg na rozszerzenia przeglądarki, często atakując menedżerów haseł i portfele kryptowalut. Może również zbierać pliki o rozmiarze poniżej 50 MB z kluczowych katalogów, w tym Pulpit, Dokumenty, Pobrane i OneDrive, na podstawie określonych słów kluczowych i rozszerzeń plików.
Celowanie w kryptowaluty i konta w mediach społecznościowych
Poza przeglądarkami Celestial koncentruje się na uzyskiwaniu danych uwierzytelniających z portfeli kryptowalutowych, mediów społecznościowych i platform gier. Wśród zagrożonych platform znajdują się Instagram, TikTok, X (dawniej Twitter), Discord, Roblox, Steam i Twitch. Ponadto może manipulować niektórymi aplikacjami, takimi jak Discord, poprzez generowanie zwodniczych monitów w preferowanym przez użytkownika języku. Monity te proszą użytkowników o aktualizację adresów e-mail, haseł lub ustawień uwierzytelniania dwuskładnikowego (2FA) , dając atakującym dostęp do prywatnych kont.
Ciągły rozwój i przyszłe ryzyka
W miarę rozwoju Celestial Stealer jego możliwości mogą się rozszerzać. Deweloperzy często aktualizują oprogramowanie, potencjalnie wprowadzając nowe cele lub udoskonalając istniejące funkcje. Biorąc pod uwagę jego konfigurowalny charakter i ciągłe ulepszenia, przyszłe wersje mogą stanowić jeszcze większe ryzyko dla prywatności i bezpieczeństwa użytkowników.
Potencjalne konsekwencje infekcji Celestial Stealer
Obecność tego złodzieja w systemie może prowadzić do poważnych konsekwencji. Cyberprzestępcy mogą wykorzystać skradzione dane uwierzytelniające, aby uzyskać dostęp do różnych usług online, co może prowadzić do kradzieży tożsamości, oszustw finansowych lub nieautoryzowanych transakcji. Skompromitowane konta mogą być wykorzystywane do phishingu, spamowania lub rozprzestrzeniania dodatkowych zagrożeń. Ponadto, jeśli użytkownicy powtarzają hasła w wielu witrynach, atakujący mogą wykorzystać skradzione dane uwierzytelniające, aby zinfiltrować dodatkowe konta, zwiększając potencjalne szkody.
Jak rozprzestrzenia się Celestial Stealer
Jedną ze znanych metod dystrybucji Celestial Stealer są oszukańcze promocje oprogramowania. Zostało zamaskowane jako czat VR Erotic Role-Playing (ERP) dla VRChat, popularnej platformy wirtualnego świata. Jednak nie jest to jedyna stosowana metoda. Cyberprzestępcy często stosują kampanie phishingowe, złośliwe reklamy i trojanizowane pliki do pobrania, aby dostarczać zagrożenia takie jak Celestial. Złodziej może być dołączony do pirackiego oprogramowania, zhakowanych programów lub fałszywych aktualizacji, oszukując użytkowników, aby nieświadomie zainstalowali złośliwe oprogramowanie.
Typowe wektory infekcji i środki zapobiegawcze
Atakujący często rozpowszechniają złośliwe oprogramowanie za pomocą różnych oszukańczych metod, w tym:
- Załączniki do wiadomości e-mail i linki phishingowe są wysyłane za pośrednictwem wiadomości e-mail, wiadomości bezpośrednich i wpisów na forach.
- Nieoficjalne strony do pobierania oprogramowania i platformy wymiany plików peer-to-peer.
- Fałszywe aktualizacje oprogramowania i instalatory, zaprojektowane tak, aby sprawiały wrażenie legalnych.
- Malvertising, czyli fałszywe reklamy przekierowujące użytkowników do złośliwych witryn.
- Zagrożone urządzenia pamięci masowej, takie jak dyski USB i zewnętrzne dyski twarde.
Aby zminimalizować ryzyko infekcji, użytkownicy powinni zachować ostrożność podczas pobierania oprogramowania i interakcji z wiadomościami e-mail z nieznanych źródeł. Weryfikacja autentyczności wiadomości e-mail, linków i załączników przed ich otwarciem jest niezbędna, aby uniknąć prób phishingu. Ponadto pobieranie oprogramowania z oficjalnych źródeł i unikanie programów z crackiem lub nieoficjalnych aktualizacji może pomóc zapobiec narażeniu na zagrożenia takie jak Celestial.
Znaczenie świadomości cyberbezpieczeństwa
Wiedza o tym, jak działają cyberprzestępcy, jest kluczowa dla uniknięcia zagrożeń takich jak Celestial Stealer. Fałszywe wiadomości często naśladują legalne powiadomienia, aby stworzyć fałszywe poczucie pilności, skłaniając użytkowników do podjęcia natychmiastowych działań. Rozpoznanie tych taktyk i zachowanie czujności wobec podejrzanych wiadomości, fałszywych pobrań i oszukańczych witryn może zmniejszyć prawdopodobieństwo ataku takimi zagrożeniami.
Ostatnie przemyślenia
Celestial Stealer jest przykładem tego, jak zagrożenia kradzieży informacji ewoluują i dostosowują się do nowoczesnych środków bezpieczeństwa. Jego zdolność do wydobywania poufnych danych, przejmowania kont i infiltracji danych osobowych i finansowych pozostaje znaczącym ryzykiem. W miarę zmian krajobrazu zagrożeń pozostawanie poinformowanym i przyjmowanie proaktywnych środków bezpieczeństwa będzie miało zasadnicze znaczenie dla ochrony danych osobowych i zawodowych przed cyberprzestępcami.
