Celestial Stealer
Keerulise pahavara vastu valvsus on kriitilisem kui kunagi varem. Celestial Stealer, JavaScriptis kirjutatud kõrgetasemeline teabevarastamisprogramm, on loodud Windows 10 ja 11 seadmetesse imbumiseks, eraldades tundlikke kasutajaandmeid, vältides samas tuvastamist. Seda ohtu arendatakse aktiivselt ja müüakse Malware-as-a-Service (MaaS) nime all, muutes selle kättesaadavaks küberkurjategijatele, kes soovivad pahaaimamatuid kasutajaid ära kasutada.
Sisukord
Täiustatud kõrvalehoidmistehnikatega varastaja
Celestial Stealer ei ole lihtsalt järjekordne pahatahtlik tarkvara – see on hästi välja töötatud tööriist, mis on loodud turvameetmetest mööda hiilimiseks ja väärtuslike andmete hankimiseks. Kasutades hägustamistehnikaid ja sisestades rämpskoodi, muudab see turvatarkvara tuvastamise keerulisemaks. Lisaks sisaldab see analüüsivastaseid mehhanisme, mis takistavad käivitamist virtuaalmasinates või liivakastikeskkondades, mida küberturbeteadlased tavaliselt kasutavad. Mõned Celestiali versioonid kontrollivad isegi konkreetsete seadmete nimesid ja kasutajanimesid, mis on seotud turvaanalüütikutega, tagades, et see ei tööta kontrollitud uurimisseadetes.
See pahavara on ka püsiv, mis tähendab, et kui see süsteemi nakatab, taaskäivitub see automaatselt iga taaskäivitusega. Mõned Celestiali varasemad versioonid lülituvad välja, kui nad tuvastavad teatud protsesside töötamise, kuid uuemad iteratsioonid kasutavad agressiivsemat lähenemisviisi, püüdes neid protsesse peatada.
Mitmekülgne lähenemine andmevargustele
Celestial Stealeril on lai valik võimalusi, mis võimaldavad koguda erinevat tüüpi kasutajaandmeid. See võib teha ekraanipilte ja ekstraktida faile peamistest süsteemikataloogidest, sealhulgas töölauast, allalaadimistest, dokumentidest ja OneDrive'ist. Pahavara sihib konkreetselt alla 50 MB faile, vältides tõenäoliselt tuvastamist suuri andmeedastusi jälgivate turvatööriistade poolt.
Lisaks failide vargustele on Celestial eriti keskendunud veebibrauseri andmete varastamisele. See võib eraldada salvestatud paroole, krediitkaardiandmeid, sirvimisajalugu, küpsiseid ja automaatse täitmise teavet nii Chromiumi- kui ka Gecko-põhistest brauseritest. Lisaks otsib see andmeid brauserilaienditelt, sealhulgas paroolihalduritelt ja krüptovaluuta rahakottidelt.
Pahavara seab sihikule ka kasutajakontod sotsiaalmeediast, sõnumside-, mängu- ja voogedastusplatvormidest, nagu Discord, Twitch, Instagram, TikTok, X (endine Twitter), Steam ja Roblox. Discordi sihtimisel on Celestial võimeline looma petturlikke hüpikaknaid ohvri emakeeles, meelitades neid paljastama tundlikku teavet, nagu paroolid, kahefaktorilise autentimise (2FA) koodid, arveldusaadressid ja makseandmed.
Pidevate uuendustega arenev oht
Celestial Stealer ei ole staatiline oht. Selle arendajad annavad sageli välja värskendusi, tutvustades uusi funktsioone ja täiustades selle võimalusi. Kuna seda müüakse teenusena, saavad ostjad selle funktsioone oma vajadustele vastavaks kohandada. Selle tulemusena võivad Celestiali tulevased versioonid kasutusele võtta uusi andmete kogumise tehnikaid või laiendada oma sihtmärkide valikut. See kohanemisvõime muudab selle püsivaks ohuks, kuna traditsioonilised turvameetmed võivad selle kiire arenguga sammu pidada.
Selle leviku taga olevad meetodid
Nagu paljud muud pahatahtliku tarkvara vormid, tugineb Celestial Stealer oma ohvriteni jõudmiseks petlikele levitamismeetoditele. Üks tuntud taktika hõlmab VRChati kasutajate jaoks virtuaalse reaalsuse (VR) erootilise rollimängu (ERP) jututoa maskeerimist. Kasutades ära uudishimu ja huvi niši veebikogukondade vastu, meelitavad ründajad kasutajaid pahavara teadmata installima.
Lisaks sellele konkreetsele juhtumile võib Celestial levida ka tavaliste küberkuritegelike taktikate kaudu, nagu andmepüügimeilid, pahatahtlikud reklaamid ja ohustatud allalaadimised. Küberkurjategijad manustavad pahavara sageli seadusliku välimusega tarkvarasse, piraatmeediumisse või võltsitud värskendustesse, mistõttu on kasutajatel lihtne seda ohtu teadmata installida. Mõnel juhul võib pahavara levida isegi nakatunud väliste salvestusseadmete kaudu, võimaldades sellel liikuda süsteemide vahel minimaalse kasutajapoolse sekkumisega.
Teabevarguse pahavara varjatud ohud
Celestial Stealeri olemasolul seadmel võivad olla rasked tagajärjed. Varastatud mandaate saab pimedas veebis müüa, võimaldades küberkurjategijatel kontosid kaaperdada, identiteeti varastada ja finantspettusi toime panna. Ründajad võivad kasutada ka ohustatud kontosid, et käivitada täiendavaid andmepüügirünnakuid, levitades pahavara veelgi rohkemate ohvriteni.
Riskid ei piirdu üksikute kasutajatega – potentsiaalsed sihtmärgid on ka ettevõtted ja organisatsioonid. Kui nakatunud süsteem kuulub töötajale, võivad ründajad pääseda ligi ettevõtte võrkudele, mis toob kaasa andmetega seotud rikkumisi, rahalisi kaotusi ja mainekahjustusi.
Ohust eespool püsimine
Arvestades oma keerulisi kõrvalehoidmise tehnikaid ja arenevaid võimalusi, kujutab Celestial Stealer endast tõsist ohtu. Sellise pahavara eest kaitsmine nõuab heade küberturvalisuse harjumuste ja tugevate turvalahenduste kombinatsiooni. Kontrollimata allikatest allalaadimiste vältimine, e-kirjade manustega ettevaatlik olemine ja tarkvara ajakohasena hoidmine on kokkupuute minimeerimisel üliolulised sammud. Lisaks võib mitmefaktorilise autentimise (MFA) rakendamine olulistel kontodel lisada täiendava turvakihi, muutes ründajatel raskemaks juurdepääsu isegi siis, kui mandaadid on varastatud.
Küberkurjategijad täiustavad pidevalt oma meetodeid ja sellised ohud nagu Celestial Stealer rõhutavad, kui tähtis on olla kursis ja ennetav. Mõistes, kuidas need ohud toimivad, ja rakendades asjakohaseid ettevaatusabinõusid, saavad kasutajad märkimisväärselt vähendada riski sattuda keerukate küberrünnakute ohvriks.
