Celestial Stealer
Karmaşık kötü amaçlı yazılımlara karşı tetikte olmak her zamankinden daha kritik. JavaScript'te yazılmış son derece gelişmiş bir bilgi çalma programı olan Celestial Stealer, Windows 10 ve 11 cihazlarına sızmak, hassas kullanıcı verilerini çıkarmak ve tespit edilmekten kaçınmak için tasarlanmıştır. Bu tehdit aktif olarak geliştirilmekte ve Malware-as-a-Service (MaaS) olarak satılmakta ve bu da şüphesiz kullanıcıları istismar etmeye çalışan siber suçlular için erişilebilir hale getirmektedir.
İçindekiler
Gelişmiş Kaçınma Tekniklerine Sahip Bir Hırsız
Celestial Stealer, yalnızca kötü amaçlı yazılımlardan biri değildir; güvenlik önlemlerini atlatmak ve değerli verileri çıkarmak için tasarlanmış iyi hazırlanmış bir araçtır. Karartma teknikleri kullanarak ve önemsiz kod ekleyerek, güvenlik yazılımları tarafından tespit edilmesini daha da zorlaştırır. Ayrıca, siber güvenlik araştırmacıları tarafından yaygın olarak kullanılan sanal makinelerde veya deneme ortamlarında yürütmeyi engelleyen anti-analiz mekanizmaları içerir. Celestial'ın bazı sürümleri, güvenlik analistlerine bağlı belirli cihaz adlarını ve kullanıcı adlarını bile kontrol ederek, kontrollü araştırma ayarlarında çalışmadığından emin olur.
Bu kötü amaçlı yazılım ayrıca kalıcıdır, yani bir sistemi enfekte ettiğinde her yeniden başlatmada otomatik olarak yeniden başlayacaktır. Celestial'ın bazı eski sürümleri, belirli süreçlerin çalıştığını tespit ettiklerinde kapanırdı, ancak daha yeni yinelemeler bu süreçleri sonlandırmaya çalışarak daha agresif bir yaklaşım sergiler.
Veri Hırsızlığına Çok Yönlü Bir Yaklaşım
Celestial Stealer, çeşitli kullanıcı verisi biçimlerini toplamasına olanak tanıyan geniş bir yetenek yelpazesine sahiptir. Ekran görüntüleri alabilir ve Masaüstü, İndirilenler, Belgeler ve OneDrive dahil olmak üzere önemli sistem dizinlerinden dosyaları çıkarabilir. Kötü amaçlı yazılım, büyük veri transferlerini izleyen güvenlik araçları tarafından tespit edilmekten kaçınmak için özellikle 50 MB'ın altındaki dosyaları hedef alır.
Celestial, dosya hırsızlığının ötesinde özellikle web tarayıcısı verilerini çalmaya odaklanmıştır. Hem Chromium hem de Gecko tabanlı tarayıcılardan saklanan parolaları, kredi kartı bilgilerini, tarama geçmişlerini, çerezleri ve otomatik doldurma bilgilerini çıkarabilir. Ayrıca, parola yöneticileri ve kripto para cüzdanları dahil olmak üzere tarayıcı uzantılarından veri arar.
Kötü amaçlı yazılım ayrıca Discord, Twitch, Instagram, TikTok, X (eski adıyla Twitter), Steam ve Roblox gibi sosyal medya, mesajlaşma, oyun ve yayın platformlarındaki kullanıcı hesaplarına da hedef alıyor. Celestial, Discord'u hedef aldığında, kurbanın ana dilinde sahte açılır pencereler üreterek onları parolalar, iki faktörlü kimlik doğrulama (2FA) kodları, fatura adresleri ve ödeme ayrıntıları gibi hassas bilgileri ifşa etmeye kandırabiliyor.
Sürekli Güncellemelerle Gelişen Bir Tehdit
Celestial Stealer statik bir tehdit değildir. Geliştiricileri sık sık güncellemeler yayınlar, yeni özellikler sunar ve yeteneklerini geliştirir. Bir hizmet olarak satıldığı için alıcılar, işlevlerini ihtiyaçlarına uyacak şekilde özelleştirebilir. Sonuç olarak, Celestial'ın gelecekteki sürümleri veri toplama için yeni teknikler sunabilir veya hedef yelpazesini genişletebilir. Bu uyarlanabilirlik, geleneksel güvenlik önlemlerinin hızlı gelişimine ayak uydurmakta zorlanabileceği için onu kalıcı bir tehlike haline getirir.
Yayılmasının Arkasındaki Yöntemler
Diğer birçok kötü amaçlı yazılım biçimi gibi Celestial Stealer da kurbanlarına ulaşmak için aldatıcı dağıtım yöntemlerine güvenir. Bilinen bir taktik, VRChat kullanıcıları için sanal gerçeklik (VR) erotik rol yapma (ERP) sohbet odası olarak kendini gizlemeyi içerir. Niş çevrimiçi topluluklara olan merak ve ilgiyi istismar ederek, saldırganlar kullanıcıları bilmeden kötü amaçlı yazılımı yüklemeye ikna eder.
Bu özel durumun ötesinde, Celestial ayrıca kimlik avı e-postaları, kötü amaçlı reklamlar ve tehlikeye atılmış indirmeler gibi yaygın siber suç taktikleri yoluyla da yayılabilir. Siber suçlular genellikle kötü amaçlı yazılımları meşru görünen yazılımlara, korsan medyaya veya sahte güncellemelere yerleştirir ve kullanıcıların tehdidi bilmeden yüklemesini kolaylaştırır. Bazı durumlarda, kötü amaçlı yazılım enfekte olmuş harici depolama aygıtları aracılığıyla bile yayılabilir ve bu da minimum kullanıcı etkileşimiyle sistemler arasında hareket etmesini sağlar.
Bilgi Çalan Kötü Amaçlı Yazılımların Gizli Tehlikeleri
Bir cihazda Celestial Stealer'ın bulunması ciddi sonuçlara yol açabilir. Çalınan kimlik bilgileri karanlık web'de satılabilir ve siber suçluların hesapları ele geçirmesine, kimlikleri çalmasına ve finansal dolandırıcılık yapmasına olanak tanır. Saldırganlar ayrıca, daha fazla kimlik avı saldırısı başlatmak için tehlikeye atılmış hesapları kullanabilir ve kötü amaçlı yazılımı daha fazla kurbana yayabilir.
Riskler bireysel kullanıcılarla sınırlı değildir; işletmeler ve kuruluşlar da potansiyel hedeflerdir. Enfekte bir sistem bir çalışana aitse, saldırganlar kurumsal ağlara erişebilir ve bu da veri ihlallerine, mali kayıplara ve itibar kaybına yol açabilir.
Tehditlerin Önünde Kalmak
Karmaşık kaçınma teknikleri ve gelişen yetenekleri göz önüne alındığında, Celestial Stealer zorlu bir tehdittir. Bu tür kötü amaçlı yazılımlara karşı korunmak, iyi siber güvenlik alışkanlıkları ve sağlam güvenlik çözümlerinin bir kombinasyonunu gerektirir. Doğrulanmamış kaynaklardan indirmelerden kaçınmak, e-posta eklerine karşı dikkatli olmak ve yazılımı güncel tutmak, maruziyeti en aza indirmek için önemli adımlardır. Ayrıca, önemli hesaplarda çok faktörlü kimlik doğrulama (MFA) uygulamak, fazladan bir güvenlik katmanı ekleyerek saldırganların kimlik bilgileri çalınsa bile erişim sağlamasını zorlaştırabilir.
Siber suçlular yöntemlerini sürekli olarak geliştiriyor ve Celestial Stealer gibi tehditler bilgili ve proaktif kalmanın önemini vurguluyor. Bu tehditlerin nasıl işlediğini anlayarak ve uygun önlemleri alarak kullanıcılar, karmaşık siber saldırılara kurban gitme risklerini önemli ölçüde azaltabilir.
