Celestial Stealer
Zachowanie czujności wobec wyrafinowanego złośliwego oprogramowania jest ważniejsze niż kiedykolwiek. Celestial Stealer, wysoce zaawansowany program do kradzieży informacji napisany w JavaScript, został zaprojektowany w celu infiltracji urządzeń z systemem Windows 10 i 11, wydobywając poufne dane użytkownika, jednocześnie unikając wykrycia. To zagrożenie jest aktywnie rozwijane i sprzedawane jako Malware-as-a-Service (MaaS), co czyni je dostępnym dla cyberprzestępców, którzy chcą wykorzystać niczego niepodejrzewających użytkowników.
Spis treści
Złodziej z zaawansowanymi technikami unikania
Celestial Stealer to nie tylko kolejny złośliwy program — to dobrze opracowane narzędzie zaprojektowane do omijania zabezpieczeń i wydobywania cennych danych. Poprzez stosowanie technik zaciemniania i wstawianie śmieciowego kodu utrudnia wykrycie przez oprogramowanie zabezpieczające. Ponadto zawiera mechanizmy antyanalizy, które zapobiegają wykonywaniu w maszynach wirtualnych lub środowiskach piaskownicy powszechnie używanych przez badaczy cyberbezpieczeństwa. Niektóre wersje Celestial sprawdzają nawet konkretne nazwy urządzeń i nazwy użytkowników powiązane z analitykami bezpieczeństwa, zapewniając, że nie działa w kontrolowanych środowiskach śledczych.
To złośliwe oprogramowanie jest również uporczywe, co oznacza, że po zainfekowaniu systemu automatycznie uruchamia się ponownie przy każdym ponownym uruchomieniu. Niektóre wcześniejsze wersje Celestial wyłączały się, gdy wykryły pewne uruchomione procesy, ale nowsze wersje stosują bardziej agresywne podejście, próbując zakończyć te procesy.
Wieloaspektowe podejście do kradzieży danych
Celestial Stealer ma szeroki zakres możliwości, które pozwalają mu zbierać różne formy danych użytkownika. Może wykonywać zrzuty ekranu i wyodrębniać pliki z kluczowych katalogów systemowych, w tym Desktop, Downloads, Documents i OneDrive. Malware atakuje konkretnie pliki o rozmiarze poniżej 50 MB, prawdopodobnie w celu uniknięcia wykrycia przez narzędzia bezpieczeństwa monitorujące duże transfery danych.
Oprócz kradzieży plików Celestial koncentruje się szczególnie na kradzieży danych przeglądarek internetowych. Potrafi wyodrębnić zapisane hasła, dane kart kredytowych, historię przeglądania, pliki cookie i informacje o autouzupełnianiu zarówno z przeglądarek opartych na Chromium, jak i Gecko. Ponadto wyszukuje dane z rozszerzeń przeglądarki, w tym menedżerów haseł i portfeli kryptowalut.
Malware atakuje również konta użytkowników z mediów społecznościowych, komunikatorów, gier i platform streamingowych, takich jak Discord, Twitch, Instagram, TikTok, X (dawniej Twitter), Steam i Roblox. Gdy atakuje Discord, Celestial jest w stanie generować fałszywe wyskakujące okienka w ojczystym języku ofiary, oszukując ją w celu ujawnienia poufnych informacji, takich jak hasła, kody uwierzytelniania dwuskładnikowego (2FA), adresy rozliczeniowe i dane płatnicze.
Rozwijające się zagrożenie z ciągłymi aktualizacjami
Celestial Stealer nie jest statycznym zagrożeniem. Jego twórcy często publikują aktualizacje, wprowadzając nowe funkcje i udoskonalając jego możliwości. Ponieważ jest sprzedawany jako usługa, kupujący mogą dostosować jego funkcjonalności do swoich potrzeb. W rezultacie przyszłe wersje Celestial mogą wprowadzić nowe techniki gromadzenia danych lub rozszerzyć zakres celów. Ta adaptacyjność sprawia, że jest on stałym zagrożeniem, ponieważ tradycyjne środki bezpieczeństwa mogą mieć trudności z nadążaniem za jego szybkim rozwojem.
Metody rozprzestrzeniania się
Podobnie jak wiele innych form złośliwego oprogramowania, Celestial Stealer polega na oszukańczych metodach dystrybucji, aby dotrzeć do swoich ofiar. Jedna ze znanych taktyk polega na maskowaniu się jako czat erotyczny (ERP) w wirtualnej rzeczywistości (VR) dla użytkowników VRChat. Wykorzystując ciekawość i zainteresowanie niszowymi społecznościami internetowymi, atakujący wabią użytkowników do nieświadomej instalacji złośliwego oprogramowania.
Poza tym konkretnym przypadkiem Celestial może być również rozprzestrzeniany za pośrednictwem typowych taktyk cyberprzestępców, takich jak wiadomości phishingowe, złośliwe reklamy i zagrożone pliki do pobrania. Cyberprzestępcy często osadzają złośliwe oprogramowanie w oprogramowaniu wyglądającym na legalne, pirackich mediach lub fałszywych aktualizacjach, ułatwiając użytkownikom nieświadomą instalację zagrożenia. W niektórych przypadkach złośliwe oprogramowanie może rozprzestrzeniać się nawet za pośrednictwem zainfekowanych zewnętrznych urządzeń pamięci masowej, umożliwiając mu przemieszczanie się między systemami przy minimalnej interakcji użytkownika.
Ukryte zagrożenia związane ze złośliwym oprogramowaniem kradnącym informacje
Obecność Celestial Stealer na urządzeniu może mieć poważne konsekwencje. Skradzione dane uwierzytelniające mogą być sprzedawane w dark webie, co pozwala cyberprzestępcom na przejmowanie kont, kradzież tożsamości i popełnianie oszustw finansowych. Atakujący mogą również wykorzystywać przejęte konta do przeprowadzania dalszych ataków phishingowych, rozprzestrzeniając złośliwe oprogramowanie na jeszcze więcej ofiar.
Ryzyko nie ogranicza się do indywidualnych użytkowników — przedsiębiorstwa i organizacje są również potencjalnymi celami. Jeśli zainfekowany system należy do pracownika, atakujący mogą uzyskać dostęp do sieci korporacyjnych, co doprowadzi do naruszeń danych, strat finansowych i szkód reputacyjnych.
Wyprzedzić zagrożenie
Biorąc pod uwagę wyrafinowane techniki unikania i ewoluujące możliwości, Celestial Stealer jest groźnym zagrożeniem. Ochrona przed takim złośliwym oprogramowaniem wymaga połączenia dobrych nawyków cyberbezpieczeństwa i solidnych rozwiązań bezpieczeństwa. Unikanie pobierania z niezweryfikowanych źródeł, ostrożność w przypadku załączników do wiadomości e-mail i aktualizowanie oprogramowania to kluczowe kroki w minimalizowaniu narażenia. Ponadto wdrożenie uwierzytelniania wieloskładnikowego (MFA) na ważnych kontach może dodać dodatkową warstwę zabezpieczeń, utrudniając atakującym uzyskanie dostępu, nawet jeśli dane uwierzytelniające zostaną skradzione.
Cyberprzestępcy nieustannie udoskonalają swoje metody, a zagrożenia takie jak Celestial Stealer podkreślają znaczenie pozostawania poinformowanym i proaktywnym. Rozumiejąc, jak działają te zagrożenia i podejmując odpowiednie środki ostrożności, użytkownicy mogą znacznie zmniejszyć ryzyko stania się ofiarą wyrafinowanych cyberataków.
