天体窃贼：隐秘的数据窃取威胁

针对 Windows 系统的基于 JavaScript 的数据窃取程序

Celestial Stealer 是一款用 JavaScript 编写的信息窃取程序，专门用于从 Windows 10 和 11 操作系统中提取敏感用户数据。该威胁正在积极开发并定期更新，以确保它能够有效抵御现代安全防御。作为恶意软件即服务 (MaaS)，Celestial 以多种配置和不同的付款计划出售，因此各种网络犯罪分子都可以使用它。

隐秘方法和混淆技术

该窃取程序采用各种技术来避免被发现。它使用大量混淆技术，在脚本中添加不必要的代码来掩盖其真实目的。反分析措施进一步增强了其对检测的抵抗力，因为它旨在识别在虚拟环境中或由网络安全专业人员检查它时的情况。它还会检查与安全研究相关的特定设备名称和用户名，并在必要时终止自身或尝试关闭监控进程。此外，它通过将自身配置为在每次系统重启时启动来确保持久性。

功能和数据提取

Celestial Stealer 具备多种窃取用户数据的功能。它可以截取屏幕截图，并从基于 Chromium 和 Gecko 的网络浏览器中提取浏览历史记录、存储的密码、自动填充信息、互联网 cookie 甚至保存的信用卡号。该窃取程序将范围扩展到浏览器扩展，通常针对密码管理器和加密货币钱包。它还可以根据特定关键字和文件扩展名从主要目录（包括桌面、文档、下载和 OneDrive）收集大小不超过 50 MB 的文件。

针对加密货币和社交媒体账户

除了浏览器之外，Celestial 还专注于从加密货币钱包、社交媒体和游戏平台获取凭证。面临风险的平台包括 Instagram、TikTok、X（以前称为 Twitter）、Discord、Roblox、Steam 和 Twitch。此外，它还可以通过以用户首选语言生成欺骗性提示来操纵某些应用程序（例如 Discord）。这些提示要求用户更新电子邮件地址、密码或双因素身份验证 (2FA)设置，从而使攻击者可以访问私人帐户。

持续发展和未来风险

随着 Celestial Stealer 的不断发展，其功能可能会不断扩展。开发人员经常更新该软件，可能会引入新的目标或改进其现有功能。鉴于其可定制性和持续改进，未来版本可能会对用户隐私和安全造成更大的风险。

天体窃贼感染的潜在后果

系统中存在这种窃取程序可能会导致严重后果。网络犯罪分子可以利用被盗凭证访问各种在线服务，从而导致身份盗窃、金融欺诈或未经授权的交易。被盗账户可能被用于网络钓鱼、垃圾邮件或传播其他威胁。此外，如果用户在多个网站上重复使用密码，攻击者可以利用被盗凭证渗透其他账户，从而扩大潜在损害。

天体窃贼如何传播

Celestial Stealer 已知的一种传播方法是通过欺骗性软件促销。它被伪装成流行的虚拟世界平台 VRChat 的 VR 情色角色扮演 (ERP) 聊天室。然而，这并不是唯一使用的方法。网络犯罪分子经常使用网络钓鱼活动、恶意广告和木马下载来传播像 Celestial 这样的威胁。窃取者可能与盗版软件、破解程序或虚假更新捆绑在一起，诱骗用户在不知情的情况下安装恶意软件。

常见感染媒介及预防措施

攻击者通常通过各种欺骗手段传播恶意软件，包括：

• 电子邮件附件和网络钓鱼链接通过电子邮件、直接消息或论坛帖子发送。
• 非官方软件下载网站和点对点文件共享平台。
• 伪装成合法软件更新和安装程序的虚假软件更新和安装程序。
• 恶意广告，即欺诈性广告将用户重定向到恶意网站。
• 受到损害的存储设备，例如 USB 驱动器或外部硬盘。

为了最大限度地降低感染风险，用户在下载软件和与来自未知来源的电子邮件交互时应谨慎行事。在打开电子邮件、链接和附件之前验证其合法性对于避免网络钓鱼攻击至关重要。此外，从官方来源下载软件并避免破解程序或非官方更新可以帮助防止暴露于 Celestial 等威胁。

网络安全意识的重要性

了解网络犯罪分子的运作方式是避免受到 Celestial Stealer 等威胁的关键。欺诈性消息通常会模仿合法通知，以营造虚假的紧迫感，促使用户立即采取行动。识别这些策略并保持警惕，防范可疑消息、虚假下载和欺骗性网站，可以降低受到此类威胁攻击的可能性。

最后的想法

Celestial Stealer 是信息窃取威胁不断发展并适应现代安全措施的典型例子。它提取敏感数据、劫持账户以及渗透个人和财务信息的能力仍然是一个重大风险。随着威胁形势的变化，保持知情并采取主动的安全措施对于保护个人和专业数据免受网络犯罪分子的侵害至关重要。