Celestial Stealer
การเฝ้าระวังมัลแวร์ที่ซับซ้อนถือเป็นสิ่งสำคัญยิ่งกว่าที่เคย Celestial Stealer ซึ่งเป็นโปรแกรมขโมยข้อมูลขั้นสูงที่เขียนด้วย JavaScript ได้รับการออกแบบมาเพื่อแทรกซึมเข้าไปในอุปกรณ์ Windows 10 และ 11 โดยดึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ออกมาในขณะที่หลบเลี่ยงการตรวจจับ ภัยคุกคามนี้ได้รับการพัฒนาอย่างต่อเนื่องและขายในรูปแบบ Malware-as-a-Service (MaaS) ซึ่งทำให้ผู้ก่ออาชญากรรมทางไซเบอร์ที่พยายามหาประโยชน์จากผู้ใช้ที่ไม่สงสัยสามารถเข้าถึงโปรแกรมนี้ได้
สารบัญ
ผู้ขโมยที่มีเทคนิคการหลบหลีกขั้นสูง
Celestial Stealer ไม่ใช่แค่ซอฟต์แวร์ที่เป็นอันตรายอีกตัวหนึ่งเท่านั้น แต่ยังเป็นเครื่องมือที่ออกแบบมาอย่างดีเพื่อหลบเลี่ยงมาตรการรักษาความปลอดภัยและดึงข้อมูลที่มีค่าออกมา การใช้เทคนิคการบดบังข้อมูลและการแทรกโค้ดขยะทำให้ซอฟต์แวร์รักษาความปลอดภัยตรวจจับได้ยากขึ้น นอกจากนี้ ยังมีกลไกต่อต้านการวิเคราะห์ที่ป้องกันไม่ให้ทำงานในเครื่องเสมือนหรือสภาพแวดล้อมแซนด์บ็อกซ์ที่นักวิจัยด้านความปลอดภัยทางไซเบอร์มักใช้ Celestial บางเวอร์ชันยังตรวจสอบชื่ออุปกรณ์และชื่อผู้ใช้เฉพาะที่เชื่อมโยงกับนักวิเคราะห์ความปลอดภัยอีกด้วย เพื่อให้แน่ใจว่าจะไม่ทำงานในการตั้งค่าการสืบสวนที่มีการควบคุม
มัลแวร์ตัวนี้ยังคงทำงานอยู่ตลอดเวลา ซึ่งหมายความว่าเมื่อมัลแวร์นี้แพร่ระบาดไปยังระบบใดระบบหนึ่งแล้ว มัลแวร์จะรีสตาร์ทโดยอัตโนมัติทุกครั้งที่รีบูต Celestial เวอร์ชันก่อนหน้านี้บางเวอร์ชันจะปิดตัวเองลงหากตรวจพบว่ามีกระบวนการบางอย่างกำลังทำงานอยู่ แต่เวอร์ชันใหม่จะใช้แนวทางที่เข้มงวดยิ่งขึ้นโดยพยายามยุติกระบวนการเหล่านั้น
แนวทางหลายแง่มุมในการโจรกรรมข้อมูล
Celestial Stealer มีความสามารถหลากหลายที่ช่วยให้สามารถรวบรวมข้อมูลผู้ใช้ในรูปแบบต่างๆ ได้ สามารถจับภาพหน้าจอและแยกไฟล์จากไดเร็กทอรีระบบหลักได้ เช่น เดสก์ท็อป ไฟล์ดาวน์โหลด เอกสาร และ OneDrive มัลแวร์นี้กำหนดเป้าหมายไฟล์ที่มีขนาดต่ำกว่า 50 MB โดยเฉพาะ เพื่อหลีกเลี่ยงการตรวจจับโดยเครื่องมือรักษาความปลอดภัยที่ตรวจสอบการถ่ายโอนข้อมูลขนาดใหญ่
นอกเหนือจากการขโมยไฟล์แล้ว Celestial ยังมุ่งเน้นไปที่การขโมยข้อมูลเบราว์เซอร์โดยเฉพาะ โดยสามารถดึงข้อมูลรหัสผ่านที่เก็บไว้ รายละเอียดบัตรเครดิต ประวัติการเรียกดู คุกกี้ และข้อมูลการกรอกอัตโนมัติจากเบราว์เซอร์ที่ใช้ Chromium และ Gecko นอกจากนี้ ยังค้นหาข้อมูลจากส่วนขยายของเบราว์เซอร์ รวมถึงตัวจัดการรหัสผ่านและกระเป๋าเงินสกุลเงินดิจิทัล
นอกจากนี้ มัลแวร์ยังกำหนดเป้าหมายบัญชีผู้ใช้จากโซเชียลมีเดีย การส่งข้อความ เกม และแพลตฟอร์มสตรีมมิ่ง เช่น Discord, Twitch, Instagram, TikTok, X (เดิมคือ Twitter), Steam และ Roblox เมื่อกำหนดเป้าหมายที่ Discord Celestial สามารถสร้างป๊อปอัปหลอกลวงในภาษาแม่ของเหยื่อได้ โดยหลอกล่อให้เหยื่อเปิดเผยข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่าน รหัสยืนยันตัวตนสองขั้นตอน (2FA) ที่อยู่เรียกเก็บเงิน และรายละเอียดการชำระเงิน
ภัยคุกคามที่เปลี่ยนแปลงตลอดเวลาพร้อมการอัปเดตอย่างต่อเนื่อง
Celestial Stealer ไม่ใช่ภัยคุกคามแบบคงที่ นักพัฒนาซอฟต์แวร์มักจะปล่อยอัปเดต แนะนำฟีเจอร์ใหม่และปรับปรุงความสามารถต่างๆ อยู่เสมอ เนื่องจาก Celestial Stealer จำหน่ายในรูปแบบบริการ ผู้ซื้อจึงสามารถปรับแต่งฟังก์ชันต่างๆ ให้เหมาะกับความต้องการของตนเองได้ ดังนั้น Celestial เวอร์ชันในอนาคตอาจแนะนำเทคนิคใหม่ๆ สำหรับการรวบรวมข้อมูลหรือขยายขอบเขตเป้าหมาย ความสามารถในการปรับตัวนี้ทำให้ Celestial Stealer เป็นอันตรายอย่างต่อเนื่อง เนื่องจากมาตรการรักษาความปลอดภัยแบบเดิมอาจไม่สามารถตามทันการพัฒนาที่รวดเร็วของ Celestial ได้
วิธีการเบื้องหลังการแพร่กระจาย
เช่นเดียวกับซอฟต์แวร์ที่เป็นอันตรายรูปแบบอื่นๆ Celestial Stealer อาศัยวิธีการกระจายที่หลอกลวงเพื่อเข้าถึงเหยื่อ กลวิธีที่เป็นที่รู้จักอย่างหนึ่งคือการปลอมตัวเป็นห้องแชทการเล่นบทบาทสมมติแบบเสมือนจริง (VR) สำหรับผู้ใช้ VRChat โดยใช้ประโยชน์จากความอยากรู้และความสนใจในชุมชนออนไลน์เฉพาะกลุ่ม ผู้โจมตีจะล่อลวงผู้ใช้ให้ติดตั้งมัลแวร์โดยไม่รู้ตัว
นอกเหนือจากกรณีเฉพาะนี้แล้ว Celestial ยังอาจแพร่กระจายผ่านกลวิธีทางอาชญากรรมทางไซเบอร์ทั่วไป เช่น อีเมลฟิชชิ่ง โฆษณาที่เป็นอันตราย และการดาวน์โหลดที่ถูกบุกรุก อาชญากรทางไซเบอร์มักจะฝังมัลแวร์ในซอฟต์แวร์ที่ดูเหมือนถูกต้องตามกฎหมาย สื่อละเมิดลิขสิทธิ์ หรือการอัปเดตปลอม ทำให้ผู้ใช้ติดตั้งภัยคุกคามได้โดยไม่รู้ตัว ในบางกรณี มัลแวร์อาจแพร่กระจายผ่านอุปกรณ์จัดเก็บข้อมูลภายนอกที่ติดไวรัส ทำให้มัลแวร์สามารถแพร่กระจายไปทั่วระบบโดยที่ผู้ใช้ไม่ต้องโต้ตอบมากนัก
อันตรายที่ซ่อนเร้นของมัลแวร์ขโมยข้อมูล
การมี Celestial Stealer อยู่ในอุปกรณ์อาจส่งผลร้ายแรงได้ ข้อมูลประจำตัวที่ถูกขโมยไปสามารถนำไปขายบนเว็บมืด ทำให้ผู้ก่ออาชญากรรมทางไซเบอร์สามารถแฮ็กบัญชี ขโมยข้อมูลประจำตัว และกระทำการฉ้อโกงทางการเงินได้ ผู้โจมตีอาจใช้บัญชีที่ถูกบุกรุกเพื่อเปิดการโจมตีแบบฟิชชิ่งเพิ่มเติม ส่งผลให้มัลแวร์แพร่กระจายไปยังเหยื่อได้มากขึ้น
ความเสี่ยงไม่ได้จำกัดอยู่แค่ผู้ใช้รายบุคคลเท่านั้น ธุรกิจและองค์กรต่างๆ ก็เป็นเป้าหมายได้เช่นกัน หากระบบที่ติดไวรัสเป็นของพนักงาน ผู้โจมตีอาจเข้าถึงเครือข่ายขององค์กรได้ ส่งผลให้เกิดการละเมิดข้อมูล การสูญเสียทางการเงิน และความเสียหายต่อชื่อเสียง
การก้าวไปข้างหน้าของภัยคุกคาม
Celestial Stealer เป็นภัยคุกคามที่น่ากลัวเนื่องจากมีเทคนิคการหลบเลี่ยงที่ซับซ้อนและความสามารถที่พัฒนาอย่างต่อเนื่อง การป้องกันมัลแวร์ประเภทนี้ต้องอาศัยทั้งนิสัยการรักษาความปลอดภัยทางไซเบอร์ที่ดีและโซลูชันความปลอดภัยที่แข็งแกร่ง การหลีกเลี่ยงการดาวน์โหลดจากแหล่งที่ไม่ได้รับการยืนยัน การระมัดระวังในการแนบไฟล์อีเมล และการอัปเดตซอฟต์แวร์ให้เป็นปัจจุบันถือเป็นขั้นตอนสำคัญในการลดความเสี่ยง นอกจากนี้ การนำการตรวจสอบหลายปัจจัย (MFA) มาใช้กับบัญชีที่สำคัญสามารถเพิ่มระดับความปลอดภัยอีกชั้นหนึ่ง ทำให้ผู้โจมตีเข้าถึงได้ยากขึ้น แม้ว่าข้อมูลประจำตัวจะถูกขโมยไปก็ตาม
อาชญากรไซเบอร์พัฒนาวิธีการของตนอย่างต่อเนื่อง และภัยคุกคามอย่าง Celestial Stealer เน้นย้ำถึงความสำคัญของการคอยติดตามข้อมูลและดำเนินการเชิงรุก การทำความเข้าใจว่าภัยคุกคามเหล่านี้ทำงานอย่างไรและใช้มาตรการป้องกันที่เหมาะสม จะทำให้ผู้ใช้สามารถลดความเสี่ยงในการตกเป็นเหยื่อของการโจมตีทางไซเบอร์ที่ซับซ้อนได้อย่างมาก
