Celestial Stealer

שמירה על ערנות מפני תוכנות זדוניות מתוחכמות היא קריטית מתמיד. Celestial Stealer, תוכנית מתקדמת מאוד לגניבת מידע הכתובה ב-JavaScript, תוכננה לחדור למכשירי Windows 10 ו-11, לחלץ נתוני משתמש רגישים תוך התחמקות מזיהוי. איום זה מפותח באופן פעיל ונמכר בשם Malware-as-a-Service (MaaS), מה שהופך אותו לנגיש לפושעי סייבר המבקשים לנצל משתמשים תמימים.

גנב עם טכניקות התחמקות מתקדמות

Celestial Stealer הוא לא סתם עוד פיסת תוכנה זדונית - הוא כלי מעוצב היטב שנועד לעקוף אמצעי אבטחה ולחלץ נתונים יקרי ערך. על ידי שימוש בטכניקות ערפול והכנסת קוד זבל, זה מקשה על זיהוי באמצעות תוכנת אבטחה. בנוסף, הוא כולל מנגנוני אנטי-אנליזה המונעים ביצוע במכונות וירטואליות או בסביבות ארגז חול הנפוצות בשימוש על ידי חוקרי אבטחת סייבר. גרסאות מסוימות של Celestial אפילו בודקות שמות מכשירים ושמות משתמש ספציפיים המקושרים למנתחי אבטחה, ומבטיחות שהוא לא פועל בהגדרות חקירה מבוקרות.

תוכנה זדונית זו היא גם מתמשכת, כלומר ברגע שהיא מדביקה מערכת, היא תתחיל אוטומטית בכל אתחול מחדש. כמה גרסאות קודמות של Celestial היו נכבות אם הן יזהו תהליכים מסוימים פועלים, אבל איטרציות חדשות יותר נוקטות בגישה אגרסיבית יותר על ידי ניסיון לסיים את התהליכים האלה.

גישה רבת פנים לגניבת נתונים

ל- Celestial Stealer מגוון רחב של יכולות המאפשרות לו לאסוף צורות שונות של נתוני משתמש. זה יכול לצלם צילומי מסך ולחלץ קבצים מספריות מערכת מרכזיות, כולל שולחן עבודה, הורדות, מסמכים ו-OneDrive. התוכנה הזדונית מכוונת במיוחד לקבצים מתחת ל-50 מגה-בייט, ככל הנראה להימנע מזיהוי על ידי כלי אבטחה המנטרים העברות נתונים גדולות.

מעבר לגניבת קבצים, Celestial מתמקדת במיוחד בגניבת נתוני דפדפן אינטרנט. זה יכול לחלץ סיסמאות מאוחסנות, פרטי כרטיס אשראי, היסטוריות גלישה, קובצי Cookie ופרטי מילוי אוטומטי גם מדפדפנים מבוססי Chromium וגם של Gecko. בנוסף, הוא מחפש נתונים מהרחבות דפדפן, כולל מנהלי סיסמאות וארנקי מטבעות קריפטוגרפיים.

התוכנה הזדונית מכוונת גם לחשבונות משתמשים ממדיה חברתית, מסרים, משחקים ופלטפורמות סטרימינג כמו Discord, Twitch, Instagram, TikTok, X (לשעבר טוויטר), Steam ו-Roblox. כאשר ממקדים לדיסקורד, Celestial מסוגלת ליצור חלונות קופצים הונאה בשפת האם של הקורבן, ולפתות אותם לחשוף מידע רגיש כמו סיסמאות, קודי אימות דו-גורמי (2FA), כתובות חיוב ופרטי תשלום.

איום מתפתח עם עדכונים מתמידים

Celestial Stealer אינו איום סטטי. המפתחים שלה משחררים לעתים קרובות עדכונים, מציגים תכונות חדשות ומשכללים את היכולות שלה. מכיוון שהוא נמכר כשירות, קונים יכולים להתאים אישית את הפונקציונליות שלו כדי להתאים לצרכים שלהם. כתוצאה מכך, גרסאות עתידיות של Celestial עשויות להציג טכניקות חדשות לאיסוף נתונים או להרחיב את מגוון היעדים שלהן. יכולת הסתגלות זו הופכת אותו לסכנה מתמשכת, מכיוון שאמצעי אבטחה מסורתיים עשויים להתקשה לעמוד בקצב ההתפתחות המהירה שלו.

השיטות שמאחורי התפשטותו

כמו צורות רבות אחרות של תוכנות זדוניות, Celestial Stealer מסתמך על שיטות הפצה מטעות כדי להגיע לקורבנותיה. טקטיקה ידועה אחת כוללת התחפשות לחדר צ'אט של מציאות מדומה (VR) משחק תפקידים ארוטי (ERP) עבור משתמשי VRChat. על ידי ניצול סקרנות ועניין בקהילות מקוונות נישה, התוקפים מפתים משתמשים להתקין את התוכנה הזדונית שלא ביודעין.

מעבר למקרה הספציפי הזה, Celestial עשויה להתפשט גם באמצעות טקטיקות נפוצות של פושעי סייבר, כמו מיילים דיוגים, פרסומות זדוניות והורדות שנפגעו. פושעי סייבר מטמיעים לעתים קרובות תוכנות זדוניות בתוכנות שנראות לגיטימיות, מדיה פיראטית או עדכונים מזויפים, מה שמקל על המשתמשים להתקין את האיום מבלי לדעת. במקרים מסוימים, התוכנה הזדונית עשויה אפילו להתפשט באמצעות התקני אחסון חיצוניים נגועים, מה שמאפשר לה לעבור בין מערכות עם אינטראקציה מינימלית של המשתמש.

הסכנות הנסתרות של תוכנה זדונית לגניבת מידע

לנוכחות של Celestial Stealer במכשיר יכולה להיות השלכות חמורות. ניתן למכור אישורים גנובים ברשת האפלה, מה שמאפשר לפושעי סייבר לחטוף חשבונות, לגנוב זהויות ולבצע הונאה פיננסית. תוקפים עשויים גם להשתמש בחשבונות שנפגעו כדי להפעיל התקפות פישינג נוספות, ולהפיץ את התוכנה הזדונית לקורבנות נוספים.

הסיכונים אינם מוגבלים למשתמשים בודדים - עסקים וארגונים הם גם יעדים פוטנציאליים. אם מערכת נגועה שייכת לעובד, התוקפים עלולים לקבל גישה לרשתות ארגוניות, מה שיוביל לפרצות נתונים, אובדנים כספיים ופגיעה במוניטין.

להישאר לפני האיום

לאור טכניקות ההתחמקות המתוחכמות והיכולות המתפתחות שלו, Celestial Stealer הוא איום אדיר. הגנה מפני תוכנות זדוניות כאלה דורשת שילוב של הרגלי אבטחת סייבר טובים ופתרונות אבטחה חזקים. הימנעות מהורדות ממקורות לא מאומתים, זהירות עם קבצים מצורפים לדוא"ל ושמירה על עדכון התוכנה הם צעדים חיוניים לצמצום החשיפה. בנוסף, הטמעת אימות רב-גורמי (MFA) בחשבונות חשובים יכולה להוסיף שכבת אבטחה נוספת, מה שמקשה על התוקפים לקבל גישה גם אם נגנבים אישורים.

פושעי סייבר משכללים כל הזמן את השיטות שלהם, ואיומים כמו Celestial Stealer מדגישים את החשיבות של להישאר מעודכן ויזום. על ידי הבנה כיצד פועלים האיומים הללו ונקיטת אמצעי זהירות מתאימים, משתמשים יכולים להפחית באופן משמעותי את הסיכון שלהם ליפול קורבן למתקפות סייבר מתוחכמות.