Celestial Stealer

هوشیار ماندن در برابر بدافزارهای پیچیده بسیار مهمتر از همیشه است. Celestial Stealer، یک برنامه بسیار پیشرفته برای سرقت اطلاعات که با جاوا اسکریپت نوشته شده است، برای نفوذ به دستگاه های ویندوز 10 و 11 طراحی شده است و در عین حال از شناسایی اطلاعات حساس کاربر استخراج می کند. این تهدید به طور فعال به عنوان Malware-as-a-Service (MaaS) توسعه یافته و فروخته می شود و برای مجرمان سایبری که به دنبال سوء استفاده از کاربران ناآگاه هستند، قابل دسترسی است.

دزدی با تکنیک های پیشرفته فرار

Celestial Stealer فقط یک نرم افزار مخرب دیگر نیست، بلکه ابزاری است که برای دور زدن اقدامات امنیتی و استخراج داده های ارزشمند طراحی شده است. با استفاده از تکنیک های مبهم سازی و درج کد ناخواسته، تشخیص توسط نرم افزارهای امنیتی دشوارتر می شود. علاوه بر این، این شامل مکانیسم‌های ضد تجزیه و تحلیل است که از اجرا در ماشین‌های مجازی یا محیط‌های sandbox که معمولاً توسط محققان امنیت سایبری استفاده می‌شود، جلوگیری می‌کند. برخی از نسخه‌های Celestial حتی نام دستگاه‌ها و نام‌های کاربری مرتبط با تحلیل‌گران امنیتی را بررسی می‌کنند و اطمینان حاصل می‌کنند که در تنظیمات تحقیق کنترل‌شده اجرا نمی‌شود.

این بدافزار همچنین پایدار است، به این معنی که هنگامی که سیستمی را آلوده کرد، با هر بار راه‌اندازی مجدد به طور خودکار راه‌اندازی مجدد می‌شود. برخی از نسخه‌های قبلی Celestial اگر فرآیندهای خاصی را در حال اجرا تشخیص دهند، خاموش می‌شوند، اما تکرارهای جدیدتر با تلاش برای خاتمه دادن به این فرآیندها، رویکرد تهاجمی‌تری دارند.

رویکردی چندوجهی به سرقت داده ها

Celestial Stealer دارای طیف گسترده ای از قابلیت ها است که به آن اجازه می دهد تا اشکال مختلف داده های کاربر را جمع آوری کند. می تواند اسکرین شات بگیرد و فایل ها را از دایرکتوری های کلیدی سیستم از جمله دسکتاپ، دانلودها، اسناد و OneDrive استخراج کند. این بدافزار به طور خاص فایل‌های زیر 50 مگابایت را هدف قرار می‌دهد و احتمالاً از شناسایی توسط ابزارهای امنیتی که بر انتقال داده‌های بزرگ نظارت می‌کنند جلوگیری می‌کند.

فراتر از سرقت فایل، Celestial به طور خاص بر سرقت داده های مرورگر وب متمرکز است. این می تواند رمزهای عبور ذخیره شده، جزئیات کارت اعتباری، تاریخچه مرور، کوکی ها و اطلاعات تکمیل خودکار را از هر دو مرورگر مبتنی بر Chromium و Gecko استخراج کند. علاوه بر این، داده‌ها را از برنامه‌های افزودنی مرورگر، از جمله مدیریت رمز عبور و کیف پول‌های ارزهای دیجیتال جستجو می‌کند.

این بدافزار همچنین حساب‌های کاربری خود را از رسانه‌های اجتماعی، پیام‌رسانی، بازی و پلتفرم‌های پخش جریانی مانند Discord، Twitch، Instagram، TikTok، X (توئیتر سابق)، Steam و Roblox مورد توجه قرار می‌دهد. هنگام هدف قرار دادن Discord، Celestial می‌تواند پنجره‌های بازشوی تقلبی را به زبان مادری قربانی ایجاد کند و آنها را فریب دهد تا اطلاعات حساسی مانند رمزهای عبور، کدهای احراز هویت دو مرحله‌ای (2FA)، آدرس‌های صورت‌حساب و جزئیات پرداخت را فاش کند.

یک تهدید در حال تحول با به روز رسانی های مداوم

Celestial Stealer یک تهدید ثابت نیست. توسعه دهندگان آن اغلب به روز رسانی ها را منتشر می کنند، ویژگی های جدید را معرفی می کنند و قابلیت های آن را اصلاح می کنند. از آنجایی که به عنوان یک سرویس فروخته می شود، خریداران می توانند عملکردهای آن را مطابق با نیازهای خود سفارشی کنند. در نتیجه، نسخه‌های آینده Celestial ممکن است تکنیک‌های جدیدی را برای جمع‌آوری داده‌ها معرفی کنند یا محدوده اهداف خود را گسترش دهند. این سازگاری آن را به یک خطر دائمی تبدیل می کند، زیرا اقدامات امنیتی سنتی ممکن است برای همگام شدن با توسعه سریع آن مشکل داشته باشد.

روش های پشت سر گسترش آن

مانند بسیاری از اشکال دیگر نرم افزارهای مخرب، Celestial Stealer برای دسترسی به قربانیان خود به روش های توزیع فریبنده متکی است. یکی از تاکتیک‌های شناخته‌شده شامل پنهان کردن خود به عنوان یک چت روم نقش‌آفرینی وابسته به واقعیت مجازی (VR) برای کاربران VRChat است. مهاجمان با سوء استفاده از کنجکاوی و علاقه به جوامع آنلاین خاص، کاربران را به نصب ناآگاهانه بدافزار فریب می دهند.

فراتر از این مورد خاص، Celestial همچنین ممکن است از طریق تاکتیک‌های مجرمانه سایبری رایج، مانند ایمیل‌های فیشینگ، تبلیغات مخرب، و بارگیری‌های به خطر افتاده منتشر شود. مجرمان سایبری اغلب بدافزار را در نرم‌افزارهای قانونی، رسانه‌های غیرقانونی یا به‌روزرسانی‌های جعلی جاسازی می‌کنند و نصب ناآگاهانه تهدید را برای کاربران آسان می‌کنند. در برخی موارد، بدافزار حتی ممکن است از طریق دستگاه‌های ذخیره‌سازی خارجی آلوده پخش شود و به آن امکان می‌دهد با کمترین تعامل کاربر در سراسر سیستم حرکت کند.

خطرات پنهان بدافزار سرقت اطلاعات

وجود Celestial Stealer بر روی دستگاه می تواند عواقب شدیدی داشته باشد. اعتبار دزدیده شده را می توان در تاریک وب فروخت و به مجرمان سایبری امکان ربودن حساب ها، سرقت هویت و ارتکاب کلاهبرداری مالی را می دهد. مهاجمان همچنین ممکن است از حساب های در معرض خطر برای راه اندازی حملات فیشینگ بیشتر استفاده کنند و بدافزار را به قربانیان بیشتری گسترش دهند.

خطرات محدود به تک تک کاربران نیست - کسب و کارها و سازمان ها نیز اهداف بالقوه هستند. اگر یک سیستم آلوده متعلق به یک کارمند باشد، مهاجمان می‌توانند به شبکه‌های شرکتی دسترسی پیدا کنند که منجر به نقض داده‌ها، خسارات مالی و آسیب به اعتبار می‌شود.

جلوتر بودن از تهدید

با توجه به تکنیک های پیچیده فرار و قابلیت های در حال تکامل، Celestial Stealer یک تهدید بزرگ است. محافظت در برابر چنین بدافزارها مستلزم ترکیبی از عادات خوب امنیت سایبری و راه حل های امنیتی قوی است. اجتناب از دانلود از منابع تایید نشده، احتیاط در مورد پیوست های ایمیل، و به روز نگه داشتن نرم افزار، گام های مهمی برای به حداقل رساندن قرار گرفتن در معرض هستند. علاوه بر این، اجرای احراز هویت چند عاملی (MFA) در حساب‌های مهم می‌تواند یک لایه امنیتی اضافی اضافه کند و دسترسی مهاجمان را حتی در صورت سرقت اطلاعات کاربری دشوارتر کند.

مجرمان سایبری به طور مداوم روش های خود را اصلاح می کنند و تهدیدهایی مانند Celestial Stealer اهمیت آگاه ماندن و فعال بودن را برجسته می کند. با درک نحوه عملکرد این تهدیدها و انجام اقدامات احتیاطی مناسب، کاربران می توانند خطر قربانی شدن در حملات سایبری پیچیده را به میزان قابل توجهی کاهش دهند.