Celestial Stealer
保持警覺以防止複雜的惡意軟體比以往任何時候都更重要。 Celestial Stealer 是一種用 JavaScript 編寫的高度先進的資訊竊取程序,旨在滲透 Windows 10 和 11 設備,提取敏感用戶數據,同時逃避檢測。這種威脅被積極開發並作為惡意軟體即服務(MaaS)出售,這使得試圖利用毫無戒心的用戶的網路犯罪分子能夠使用它。
目錄
擁有先進逃避科技的竊賊
Celestial Stealer 不僅僅是一個惡意軟體,它是一個精心設計的工具,旨在繞過安全措施並提取有價值的數據。透過採用混淆技術和插入垃圾程式碼,它使安全軟體的檢測更加困難。此外,它還包括反分析機制,可防止在網路安全研究人員常用的虛擬機器或沙盒環境中執行。 Celestial 的某些版本甚至會檢查與安全分析師相關的特定裝置名稱和使用者名,以確保它不會在受控的調查環境中運作。
該惡意軟體還具有持久性,這意味著一旦它感染系統,它將在每次重新啟動時自動重新啟動。如果偵測到某些進程正在運行,Celestial 的某些早期版本就會關閉,但較新的版本採取了更積極的方式,試圖終止這些進程。
資料竊取的多管齊下方法
Celestial Stealer 具有廣泛的功能,可以收集各種形式的使用者資料。它可以從關鍵系統目錄(包括桌面、下載、文件和 OneDrive)截取螢幕截圖並提取文件。該惡意軟體專門針對 50 MB 以下的文件,可能是為了避免被監控大數據傳輸的安全工具被偵測到。
除了檔案竊取之外,Celestial 還特別專注於竊取網路瀏覽器資料。它可以從基於 Chromium 和 Gecko 的瀏覽器中提取儲存的密碼、信用卡詳細資訊、瀏覽記錄、cookie 和自動填入資訊。此外,它還從瀏覽器擴充功能中獲取數據,包括密碼管理器和加密貨幣錢包。
該惡意軟體還將目光瞄準社交媒體、訊息傳遞、遊戲和串流平台(如 Discord、Twitch、Instagram、TikTok、X(以前稱為 Twitter)、Steam 和 Roblox)的用戶帳戶。當針對 Discord 時,Celestial 能夠以受害者的母語生成欺詐性彈出窗口,誘騙他們透露敏感信息,例如密碼、雙重身份驗證 (2FA) 代碼、賬單地址和付款詳細信息。
威脅不斷演變且不斷更新
天體竊賊並不是靜態威脅。其開發人員頻繁發布更新,引入新功能並完善其功能。由於它是作為服務出售的,因此購買者可以根據自己的需求自訂其功能。因此,Celestial 的未來版本可能會引入新的資料收集技術或擴大其目標範圍。這種適應性使其成為一種持續的危險,因為傳統的安全措施可能難以跟上其快速發展的步伐。
其傳播方式
與許多其他形式的惡意軟體一樣,Celestial Stealer 依靠欺騙性的傳播方法來接觸受害者。一個已知的策略是將自己偽裝成 VRChat 用戶的虛擬實境 (VR) 色情角色扮演 (ERP) 聊天室。透過利用人們對小眾線上社群的好奇心和興趣,攻擊者誘使用戶在不知情的情況下安裝惡意軟體。
除了這個特定案例之外,Celestial 還可能透過常見的網路犯罪手段傳播,例如網路釣魚電子郵件、惡意廣告和受損下載。網路犯罪分子經常將惡意軟體嵌入看似合法的軟體、盜版媒體或虛假更新中,使用戶很容易在不知情的情況下安裝威脅。在某些情況下,惡意軟體甚至可能透過受感染的外部儲存裝置傳播,使其能夠以最少的使用者互動跨系統移動。
竊取資訊的惡意軟體的隱患
設備上存在 Celestial Stealer 可能會造成嚴重後果。被盜的憑證可以在暗網上出售,網路犯罪分子可以利用這些憑證劫持帳戶、竊取身分並進行金融詐欺。攻擊者還可能使用被盜帳號發動進一步的網路釣魚攻擊,將惡意軟體傳播給更多受害者。
風險不僅限於個人使用者—企業和組織也是潛在目標。如果受感染的系統屬於員工,攻擊者就可以存取公司網絡,導致資料外洩、財務損失和聲譽損害。
領先威脅
由於其複雜的逃避技術和不斷進步的能力,天體竊賊是一個令人生畏的威脅。防範此類惡意軟體需要良好的網路安全習慣和強大的安全解決方案相結合。避免從未經驗證的來源下載、謹慎處理電子郵件附件以及保持軟體更新是最大限度減少暴露的關鍵步驟。此外,在重要帳戶上實施多因素身份驗證 (MFA) 可以增加額外的安全層,即使憑證被盜,攻擊者也更難獲得存取權限。
網路犯罪分子不斷改進其攻擊方法,而像 Celestial Stealer 這樣的威脅凸顯了保持知情和主動性的重要性。透過了解這些威脅的運作方式並採取適當的預防措施,使用者可以大幅降低成為複雜網路攻擊受害者的風險。
