Celestial Stealer
Išlikti budriems dėl sudėtingų kenkėjiškų programų yra svarbiau nei bet kada anksčiau. „Celestial Stealer“, labai pažangi informacijos vagystės programa, parašyta „JavaScript“, buvo sukurta taip, kad įsiskverbtų į „Windows 10“ ir „Windows 11“ įrenginius, išgaudama jautrius vartotojo duomenis, išvengiant aptikimo. Ši grėsmė aktyviai vystoma ir parduodama kaip kenkėjiška paslauga (MaaS), todėl ji pasiekiama kibernetiniams nusikaltėliams, kurie siekia išnaudoti nieko neįtariančius vartotojus.
Turinys
Vogė su pažangiais vengimo būdais
„Celestial Stealer“ nėra tik dar viena kenkėjiška programinė įranga – tai gerai sukurtas įrankis, skirtas apeiti saugos priemones ir išgauti vertingus duomenis. Naudojant užmaskavimo metodus ir įterpiant nepageidaujamą kodą, apsauginė programinė įranga apsunkina aptikimą. Be to, jame yra antianalizės mechanizmų, kurie neleidžia vykdyti virtualiose mašinose arba smėlio dėžės aplinkose, kurias dažniausiai naudoja kibernetinio saugumo tyrinėtojai. Kai kurios „Celestial“ versijos netgi tikrina, ar nėra konkrečių įrenginių pavadinimų ir naudotojų vardų, susietų su saugos analitikais, užtikrinant, kad jis neveiktų kontroliuojamuose tyrimo nustatymuose.
Ši kenkėjiška programa taip pat yra nuolatinė, o tai reiškia, kad kai ji užkrės sistemą, ji bus automatiškai paleista iš naujo kiekvieną kartą paleidus iš naujo. Kai kurios ankstesnės „Celestial“ versijos išsijungtų, jei aptiktų vykdomus tam tikrus procesus, tačiau naujesni iteracijos veiksmai yra agresyvesni, bandydami tuos procesus nutraukti.
Daugiapusis požiūris į duomenų vagystę
„Celestial Stealer“ turi daugybę galimybių, leidžiančių rinkti įvairių formų vartotojo duomenis. Jis gali daryti ekrano kopijas ir išskleisti failus iš pagrindinių sistemos katalogų, įskaitant darbalaukį, atsisiuntimus, dokumentus ir „OneDrive“. Kenkėjiška programa konkrečiai nukreipta į failus, kurių dydis mažesnis nei 50 MB, todėl gali būti išvengta apsaugos įrankių, stebinčių didelius duomenų perdavimą, aptikimo.
Be failų vagystės, „Celestial“ ypač daug dėmesio skiria žiniatinklio naršyklės duomenų vagystei. Jis gali išgauti saugomus slaptažodžius, kredito kortelių duomenis, naršymo istorijas, slapukus ir automatinio pildymo informaciją iš „Chromium“ ir „Gecko“ pagrįstų naršyklių. Be to, ji ieško duomenų iš naršyklės plėtinių, įskaitant slaptažodžių tvarkykles ir kriptovaliutų pinigines.
Kenkėjiška programa taip pat kreipia dėmesį į vartotojų paskyras iš socialinės žiniasklaidos, pranešimų, žaidimų ir srautinio perdavimo platformų, tokių kaip „Discord“, „Twitch“, „Instagram“, „TikTok“, „X“ (buvęs „Twitter“, „Steam“ ir „Roblox“. Nukreipdama į „Discord“, „Celestial“ gali generuoti nesąžiningus iššokančiuosius langus aukos gimtąja kalba, apgaulės būdu atskleisdama slaptą informaciją, pvz., slaptažodžius, dviejų veiksnių autentifikavimo (2FA) kodus, atsiskaitymo adresus ir mokėjimo informaciją.
Besivystanti grėsmė su nuolatiniais atnaujinimais
„Celestial Stealer“ nėra statiška grėsmė. Jo kūrėjai dažnai išleidžia naujinimus, pristatydami naujas funkcijas ir tobulindami jo galimybes. Kadangi ji parduodama kaip paslauga, pirkėjai gali pritaikyti jos funkcijas pagal savo poreikius. Dėl to būsimose „Celestial“ versijose gali būti įdiegta naujų duomenų rinkimo technikų arba išplėstas jų taikinių spektras. Dėl šio pritaikomumo tai yra nuolatinis pavojus, nes tradicinėms saugumo priemonėms gali būti sunku neatsilikti nuo spartaus vystymosi.
Jos plitimo metodai
Kaip ir daugelis kitų kenkėjiškos programinės įrangos formų, „Celestial Stealer“ naudojasi apgaulingais platinimo metodais, kad pasiektų savo aukas. Viena žinoma taktika yra užmaskuoti save kaip virtualios realybės (VR) erotinių vaidmenų (ERP) pokalbių kambarį, skirtą VRChat vartotojams. Išnaudodami smalsumą ir susidomėjimą nišinėmis internetinėmis bendruomenėmis, užpuolikai privilioja vartotojus nesąmoningai įdiegti kenkėjišką programą.
Be šio konkretaus atvejo, „Celestial“ taip pat gali būti platinamas naudojant įprastas kibernetinių nusikaltėlių taktikas, tokias kaip sukčiavimo el. laiškai, kenkėjiškos reklamos ir pažeisti atsisiuntimai. Kibernetiniai nusikaltėliai dažnai įterpia kenkėjiškas programas į teisėtai atrodančią programinę įrangą, piratinę laikmeną arba netikrus naujinimus, todėl vartotojai gali nesąmoningai įdiegti grėsmę. Kai kuriais atvejais kenkėjiška programa gali plisti net per užkrėstus išorinius saugojimo įrenginius, todėl ji gali judėti tarp sistemų su minimalia vartotojo sąveika.
Paslėpti informacijos vagystės kenkėjiškų programų pavojai
„Celestial Stealer“ buvimas įrenginyje gali turėti rimtų pasekmių. Pavogtus kredencialus galima parduoti tamsiajame žiniatinklyje, todėl kibernetiniai nusikaltėliai gali užgrobti paskyras, pavogti tapatybes ir sukčiauti finansiškai. Užpuolikai taip pat gali naudoti pažeistas paskyras, kad pradėtų tolesnes sukčiavimo atakas ir išplatintų kenkėjiškas programas dar daugiau aukų.
Rizika neapsiriboja pavieniais vartotojais – įmonės ir organizacijos taip pat gali būti taikiniai. Jei užkrėsta sistema priklauso darbuotojui, užpuolikai gali gauti prieigą prie įmonės tinklų, o tai gali sukelti duomenų pažeidimus, finansinius nuostolius ir žalą reputacijai.
Išlikti priešais grėsmę
Atsižvelgiant į sudėtingas vengimo technologijas ir besivystančias galimybes, „Celestial Stealer“ yra didžiulė grėsmė. Norint apsisaugoti nuo tokių kenkėjiškų programų, reikia derinti gerus kibernetinio saugumo įpročius ir patikimus saugos sprendimus. Atsisiuntimų iš nepatvirtintų šaltinių vengimas, atsargumas su el. laiškų priedais ir programinės įrangos atnaujinimas yra esminiai žingsniai siekiant sumažinti poveikį. Be to, įdiegus kelių veiksnių autentifikavimą (MFA) svarbiose paskyrose, gali padidėti papildomas saugos sluoksnis, todėl užpuolikams bus sunkiau pasiekti prieigą, net jei kredencialai yra pavogti.
Kibernetiniai nusikaltėliai nuolat tobulina savo metodus, o tokios grėsmės kaip „Celestial Stealer“ pabrėžia, kad svarbu būti informuotam ir aktyviems. Suprasdami, kaip veikia šios grėsmės, ir imdamiesi atitinkamų atsargumo priemonių, vartotojai gali žymiai sumažinti riziką tapti sudėtingų kibernetinių atakų aukomis.
