Celestial Stealer
Việc luôn cảnh giác với phần mềm độc hại tinh vi là điều quan trọng hơn bao giờ hết. Celestial Stealer, một chương trình đánh cắp thông tin cực kỳ tiên tiến được viết bằng JavaScript, được thiết kế để xâm nhập vào các thiết bị Windows 10 và 11, trích xuất dữ liệu nhạy cảm của người dùng trong khi vẫn tránh bị phát hiện. Mối đe dọa này đang được phát triển và bán tích cực dưới dạng Malware-as-a-Service (MaaS), khiến tội phạm mạng có thể tiếp cận để khai thác người dùng không nghi ngờ.
Mục lục
Kẻ Trộm Với Kỹ Thuật Né Tránh Tiên Tiến
Celestial Stealer không chỉ là một phần mềm độc hại khác—mà là một công cụ được thiết kế khéo léo để vượt qua các biện pháp bảo mật và trích xuất dữ liệu có giá trị. Bằng cách sử dụng các kỹ thuật che giấu và chèn mã rác, nó khiến phần mềm bảo mật khó phát hiện hơn. Ngoài ra, nó bao gồm các cơ chế chống phân tích ngăn chặn việc thực thi trong các máy ảo hoặc môi trường hộp cát thường được các nhà nghiên cứu an ninh mạng sử dụng. Một số phiên bản của Celestial thậm chí còn kiểm tra tên thiết bị và tên người dùng cụ thể được liên kết với các nhà phân tích bảo mật, đảm bảo rằng nó không chạy trong các cài đặt điều tra được kiểm soát.
Phần mềm độc hại này cũng dai dẳng, nghĩa là sau khi lây nhiễm vào hệ thống, nó sẽ tự động khởi động lại sau mỗi lần khởi động lại. Một số phiên bản trước của Celestial sẽ tắt nếu phát hiện một số quy trình đang chạy, nhưng các phiên bản mới hơn có cách tiếp cận tích cực hơn bằng cách cố gắng chấm dứt các quy trình đó.
Một cách tiếp cận đa diện đối với việc đánh cắp dữ liệu
Celestial Stealer có nhiều khả năng cho phép nó thu thập nhiều dạng dữ liệu người dùng khác nhau. Nó có thể chụp ảnh màn hình và trích xuất các tệp từ các thư mục hệ thống chính, bao gồm Desktop, Downloads, Documents và OneDrive. Phần mềm độc hại này đặc biệt nhắm mục tiêu vào các tệp dưới 50 MB, có khả năng tránh bị phát hiện bởi các công cụ bảo mật theo dõi các lần truyền dữ liệu lớn.
Ngoài việc đánh cắp tệp, Celestial đặc biệt tập trung vào việc đánh cắp dữ liệu trình duyệt web. Nó có thể trích xuất mật khẩu đã lưu, thông tin thẻ tín dụng, lịch sử duyệt web, cookie và thông tin tự động điền từ cả trình duyệt dựa trên Chromium và Gecko. Ngoài ra, nó còn tìm kiếm dữ liệu từ các tiện ích mở rộng của trình duyệt, bao gồm trình quản lý mật khẩu và ví tiền điện tử.
Phần mềm độc hại này cũng nhắm vào các tài khoản người dùng từ các nền tảng mạng xã hội, nhắn tin, chơi game và phát trực tuyến như Discord, Twitch, Instagram, TikTok, X (trước đây là Twitter), Steam và Roblox. Khi nhắm mục tiêu vào Discord, Celestial có khả năng tạo các cửa sổ bật lên gian lận bằng ngôn ngữ mẹ đẻ của nạn nhân, lừa họ tiết lộ thông tin nhạy cảm như mật khẩu, mã xác thực hai yếu tố (2FA), địa chỉ thanh toán và thông tin chi tiết về thanh toán.
Một mối đe dọa đang phát triển với các bản cập nhật liên tục
Celestial Stealer không phải là mối đe dọa tĩnh. Các nhà phát triển của nó thường xuyên phát hành các bản cập nhật, giới thiệu các tính năng mới và tinh chỉnh khả năng của nó. Vì nó được bán dưới dạng dịch vụ, người mua có thể tùy chỉnh các chức năng của nó để phù hợp với nhu cầu của họ. Do đó, các phiên bản Celestial trong tương lai có thể giới thiệu các kỹ thuật mới để thu thập dữ liệu hoặc mở rộng phạm vi mục tiêu của chúng. Khả năng thích ứng này khiến nó trở thành mối nguy hiểm dai dẳng, vì các biện pháp bảo mật truyền thống có thể gặp khó khăn trong việc theo kịp sự phát triển nhanh chóng của nó.
Các phương pháp đằng sau sự lây lan của nó
Giống như nhiều dạng phần mềm độc hại khác, Celestial Stealer dựa vào các phương pháp phân phối lừa đảo để tiếp cận nạn nhân. Một chiến thuật đã biết liên quan đến việc ngụy trang thành phòng trò chuyện nhập vai khiêu dâm (ERP) thực tế ảo (VR) dành cho người dùng VRChat. Bằng cách khai thác sự tò mò và hứng thú trong các cộng đồng trực tuyến thích hợp, kẻ tấn công dụ người dùng cài đặt phần mềm độc hại mà không hề hay biết.
Ngoài trường hợp cụ thể này, Celestial cũng có thể lây lan qua các chiến thuật tội phạm mạng phổ biến, chẳng hạn như email lừa đảo, quảng cáo độc hại và tải xuống bị xâm phạm. Tội phạm mạng thường nhúng phần mềm độc hại vào phần mềm có vẻ hợp pháp, phương tiện truyền thông vi phạm bản quyền hoặc bản cập nhật giả mạo, giúp người dùng dễ dàng cài đặt mối đe dọa mà không hề hay biết. Trong một số trường hợp, phần mềm độc hại thậm chí có thể lây lan qua các thiết bị lưu trữ ngoài bị nhiễm, cho phép nó di chuyển qua các hệ thống với tương tác tối thiểu của người dùng.
Những mối nguy hiểm tiềm ẩn của phần mềm độc hại đánh cắp thông tin
Sự hiện diện của Celestial Stealer trên thiết bị có thể gây ra hậu quả nghiêm trọng. Thông tin đăng nhập bị đánh cắp có thể được bán trên dark web, cho phép tội phạm mạng chiếm đoạt tài khoản, đánh cắp danh tính và thực hiện hành vi gian lận tài chính. Kẻ tấn công cũng có thể sử dụng tài khoản bị xâm phạm để thực hiện các cuộc tấn công lừa đảo tiếp theo, phát tán phần mềm độc hại cho nhiều nạn nhân hơn nữa.
Rủi ro không chỉ giới hạn ở người dùng cá nhân—các doanh nghiệp và tổ chức cũng là mục tiêu tiềm năng. Nếu hệ thống bị nhiễm thuộc về một nhân viên, kẻ tấn công có thể truy cập vào mạng công ty, dẫn đến vi phạm dữ liệu, tổn thất tài chính và tổn hại đến danh tiếng.
Luôn đi trước mối đe dọa
Với các kỹ thuật né tránh tinh vi và khả năng phát triển, Celestial Stealer là một mối đe dọa đáng gờm. Để bảo vệ chống lại phần mềm độc hại như vậy, cần kết hợp các thói quen an ninh mạng tốt và các giải pháp bảo mật mạnh mẽ. Tránh tải xuống từ các nguồn chưa được xác minh, thận trọng với các tệp đính kèm email và cập nhật phần mềm là các bước quan trọng để giảm thiểu rủi ro. Ngoài ra, việc triển khai xác thực đa yếu tố (MFA) trên các tài khoản quan trọng có thể tăng thêm một lớp bảo mật, khiến kẻ tấn công khó truy cập hơn ngay cả khi thông tin đăng nhập bị đánh cắp.
Tội phạm mạng liên tục cải tiến phương pháp của chúng và các mối đe dọa như Celestial Stealer nhấn mạnh tầm quan trọng của việc luôn cập nhật thông tin và chủ động. Bằng cách hiểu cách thức hoạt động của các mối đe dọa này và thực hiện các biện pháp phòng ngừa thích hợp, người dùng có thể giảm đáng kể nguy cơ trở thành nạn nhân của các cuộc tấn công mạng tinh vi.
