Celestial Stealer
保持警惕以防范复杂的恶意软件比以往任何时候都更加重要。Celestial Stealer 是一款用 JavaScript 编写的非常先进的信息窃取程序,旨在渗透 Windows 10 和 11 设备,在逃避检测的同时提取敏感的用户数据。这种威胁正在积极开发并以恶意软件即服务 (MaaS) 的形式出售,这使得试图利用毫无戒心的用户的网络犯罪分子能够使用它。
目录
拥有先进逃避技术的窃贼
Celestial Stealer 不仅仅是一款恶意软件,它还是一款精心设计的工具,旨在绕过安全措施并提取有价值的数据。通过采用混淆技术和插入垃圾代码,它使安全软件的检测变得更加困难。此外,它还包括反分析机制,可防止在网络安全研究人员常用的虚拟机或沙盒环境中执行。某些版本的 Celestial 甚至会检查与安全分析师相关的特定设备名称和用户名,确保它不会在受控的调查环境中运行。
这种恶意软件还具有持久性,这意味着一旦感染系统,每次重启后它都会自动重启。Celestial 的一些早期版本如果检测到某些进程正在运行就会关闭,但较新的版本会采取更激进的方法,试图终止这些进程。
数据窃取的多管齐下方法
Celestial Stealer 具有广泛的功能,可收集各种形式的用户数据。它可以截取屏幕截图并从关键系统目录(包括桌面、下载、文档和 OneDrive)中提取文件。该恶意软件专门针对 50 MB 以下的文件,可能是为了避免被监控大数据传输的安全工具检测到。
除了文件窃取之外,Celestial 还特别专注于窃取网络浏览器数据。它可以从基于 Chromium 和 Gecko 的浏览器中提取存储的密码、信用卡详细信息、浏览历史记录、cookie 和自动填充信息。此外,它还会从浏览器扩展程序(包括密码管理器和加密货币钱包)中获取数据。
该恶意软件还将目光瞄准了社交媒体、消息传递、游戏和流媒体平台(例如 Discord、Twitch、Instagram、TikTok、X(以前称为 Twitter)、Steam 和 Roblox)的用户帐户。当针对 Discord 时,Celestial 能够以受害者的母语生成欺诈性弹出窗口,诱骗他们透露敏感信息,例如密码、双因素身份验证 (2FA) 代码、账单地址和付款详细信息。
威胁不断演变且不断更新
Celestial Stealer 并不是一个静态威胁。它的开发人员经常发布更新,引入新功能并改进其功能。由于它以服务形式出售,买家可以根据自己的需求定制其功能。因此,Celestial 的未来版本可能会引入新的数据收集技术或扩大其目标范围。这种适应性使其成为一种持续的威胁,因为传统的安全措施可能难以跟上其快速发展的步伐。
其传播方式
与许多其他形式的恶意软件一样,Celestial Stealer 依靠欺骗性传播方法来接触受害者。一种已知的策略是将自己伪装成 VRChat 用户的虚拟现实 (VR) 色情角色扮演 (ERP) 聊天室。通过利用对小众在线社区的好奇心和兴趣,攻击者诱使用户在不知情的情况下安装恶意软件。
除了这一具体案例,Celestial 还可能通过常见的网络犯罪手段传播,例如钓鱼电子邮件、恶意广告和受感染的下载。网络犯罪分子经常将恶意软件嵌入看似合法的软件、盗版媒体或虚假更新中,让用户在不知情的情况下轻松安装威胁。在某些情况下,恶意软件甚至可能通过受感染的外部存储设备传播,使其能够在用户交互最少的情况下跨系统移动。
窃取信息的恶意软件的隐患
设备上存在 Celestial Stealer 可能会造成严重后果。被盗凭证可能会在暗网上出售,网络犯罪分子借此劫持账户、窃取身份并实施金融欺诈。攻击者还可能使用被盗账户发起进一步的网络钓鱼攻击,将恶意软件传播给更多受害者。
风险不仅限于个人用户,企业和组织也是潜在目标。如果受感染的系统属于员工,攻击者可能会访问公司网络,导致数据泄露、财务损失和声誉受损。
领先于威胁
鉴于其复杂的逃避技术和不断改进的功能,Celestial Stealer 是一个强大的威胁。要防范此类恶意软件,需要良好的网络安全习惯和强大的安全解决方案。避免从未经验证的来源下载、谨慎处理电子邮件附件以及保持软件更新是最大程度减少暴露的关键步骤。此外,在重要帐户上实施多因素身份验证 (MFA) 可以增加额外的安全层,即使凭据被盗,攻击者也更难获得访问权限。
网络犯罪分子不断改进其攻击手段,而像 Celestial Stealer 这样的威胁凸显了保持知情和主动性的重要性。通过了解这些威胁的运作方式并采取适当的预防措施,用户可以大大降低成为复杂网络攻击受害者的风险。
