Celestial Stealer
Пильність проти складного зловмисного програмного забезпечення є більш важливою, ніж будь-коли. Celestial Stealer, високопрогресивна програма для крадіжки інформації, написана на JavaScript, була розроблена для проникнення в пристрої Windows 10 і 11, витягуючи конфіденційні дані користувача, уникаючи виявлення. Цю загрозу активно розробляють і продають як шкідливе програмне забезпечення як послуга (MaaS), що робить її доступною для кіберзлочинців, які прагнуть використовувати нічого не підозрюючих користувачів.
Зміст
Викрадач із передовими методами ухилення
Celestial Stealer — це не просто чергова частина шкідливого програмного забезпечення — це добре розроблений інструмент, призначений для обходу заходів безпеки та вилучення цінних даних. Застосовуючи методи обфускації та вставляючи небажаний код, це ускладнює виявлення програмним забезпеченням безпеки. Крім того, він містить механізми антианалізу, які запобігають виконанню у віртуальних машинах або середовищах ізольованих програм, якими зазвичай користуються дослідники кібербезпеки. Деякі версії Celestial навіть перевіряють певні імена пристроїв та імена користувачів, пов’язані з аналітиками безпеки, гарантуючи, що вони не запускаються в контрольованих налаштуваннях розслідування.
Це зловмисне програмне забезпечення також стійке, тобто після зараження системи воно автоматично перезавантажуватиметься під час кожного перезавантаження. Деякі попередні версії Celestial вимикалися, якщо виявляли запущені певні процеси, але нові ітерації використовують більш агресивний підхід, намагаючись припинити ці процеси.
Багатогранний підхід до крадіжки даних
Celestial Stealer має широкий спектр можливостей, які дозволяють збирати різні форми даних користувачів. Він може робити знімки екрана та видобувати файли з ключових системних каталогів, включаючи робочий стіл, завантаження, документи та OneDrive. Зловмисне програмне забезпечення спеціально націлено на файли розміром менше 50 МБ, імовірно, щоб уникнути виявлення інструментами безпеки, які відстежують передачу великих даних.
Крім крадіжки файлів, Celestial особливо зосереджений на крадіжці даних веб-браузера. Він може витягувати збережені паролі, дані кредитної картки, історії веб-перегляду, файли cookie та інформацію про автозаповнення з браузерів на основі Chromium і Gecko. Крім того, він шукає дані з розширень браузера, включаючи менеджери паролів і криптовалютні гаманці.
Зловмисне програмне забезпечення також звертає увагу на облікові записи користувачів із соціальних мереж, обміну повідомленнями, ігор і потокових платформ, таких як Discord, Twitch, Instagram, TikTok, X (раніше Twitter), Steam і Roblox. Націлюючись на Discord, Celestial здатний генерувати шахрайські спливаючі вікна рідною мовою жертви, обманом змушуючи їх розкрити конфіденційну інформацію, таку як паролі, коди двофакторної автентифікації (2FA), платіжні адреси та платіжні деталі.
Еволюційна загроза з постійними оновленнями
Celestial Stealer не є статичною загрозою. Його розробники часто випускають оновлення, вводячи нові функції та покращуючи його можливості. Оскільки він продається як послуга, покупці можуть налаштувати його функції відповідно до своїх потреб. Як наслідок, майбутні версії Celestial можуть запровадити нові методи збору даних або розширити діапазон цілей. Ця адаптивність робить його постійною небезпекою, оскільки традиційні заходи безпеки можуть не встигати за його швидким розвитком.
Методи його поширення
Як і багато інших форм шкідливого програмного забезпечення, Celestial Stealer покладається на оманливі методи розповсюдження, щоб досягти своїх жертв. Одна з відомих тактик передбачає маскування під еротичну рольову (ERP) чат-кімнату віртуальної реальності (VR) для користувачів VRChat. Використовуючи цікавість та інтерес до спеціалізованих онлайн-спільнот, зловмисники спонукають користувачів несвідомо встановити зловмисне програмне забезпечення.
Окрім цього конкретного випадку, Celestial також може поширюватися через звичайні тактики кіберзлочинців, такі як фішингові електронні листи, зловмисна реклама та скомпрометовані завантаження. Кіберзлочинці часто вбудовують зловмисне програмне забезпечення в легітимне програмне забезпечення, піратські носії або підроблені оновлення, що полегшує користувачам несвідоме встановлення загрози. У деяких випадках зловмисне програмне забезпечення може навіть поширюватися через заражені зовнішні пристрої зберігання даних, що дозволяє йому переміщатися між системами з мінімальною взаємодією користувача.
Приховані небезпеки зловмисного програмного забезпечення, що викрадає інформацію
Наявність Celestial Stealer на пристрої може мати серйозні наслідки. Викрадені облікові дані можна продавати в темній мережі, що дозволяє кіберзлочинцям захоплювати облікові записи, викрадати особисті дані та здійснювати фінансові махінації. Зловмисники також можуть використовувати скомпрометовані облікові записи для подальших фішингових атак, поширюючи зловмисне програмне забезпечення ще більшій кількості жертв.
Ризики не обмежуються окремими користувачами — підприємства та організації також є потенційними цілями. Якщо заражена система належить співробітнику, зловмисники можуть отримати доступ до корпоративних мереж, що призведе до витоку даних, фінансових втрат і репутаційної шкоди.
Випереджати загрозу
З огляду на його складні методи ухилення та можливості, що розвиваються, Celestial Stealer є грізною загрозою. Захист від таких зловмисних програм вимагає поєднання хороших звичок кібербезпеки та надійних рішень безпеки. Уникнення завантажень із неперевірених джерел, обережність із вкладеннями електронної пошти та підтримка актуального програмного забезпечення є важливими кроками для мінімізації ризику. Крім того, впровадження багатофакторної автентифікації (MFA) для важливих облікових записів може додати додатковий рівень безпеки, що ускладнить доступ для зловмисників, навіть якщо облікові дані викрадено.
Кіберзлочинці постійно вдосконалюють свої методи, а такі загрози, як Celestial Stealer, підкреслюють важливість бути поінформованими та проактивними. Розуміючи, як діють ці загрози, і вживаючи відповідних запобіжних заходів, користувачі можуть значно знизити ризик стати жертвою складних кібератак.
