Electron uygulaması olarak paketlenmiş JavaScript tabanlı bir bilgi hırsızı olan Celestial Stealer’ın, tarayıcı verilerini çalmak için hem Chromium hem de Gecko tabanlı tarayıcıları hedef aldığı görüldü.
Hırsız, özellikle sistemin tarayıcılarını hedef alarak tarayıcının geçmişini, kayıtlı şifrelerini, otomatik doldurmalarını, çerezlerini ve kayıtlı kredi bilgilerini çalmaya çalışıyor. Ayrıca tarayıcı verilerini kullanarak kullanıcının ziyaret ettiği URL’leri ve bu ziyaretlerin sıklığını toplar.
Telegram ağındaki bir hizmet olarak kötü amaçlı yazılım (MaaS) reklamıdır. Kullanıcılar, kötü amaçlı yeteneklerine erişim kazanmak için haftalık, aylık veya ömür boyu üyelik satın alabilirler.
Enfeksiyon Zinciri
Çalıcı, JavaScript ile yazılmıştır ve son derece karmaşıktır ve tespit edilmekten kaçınmak için belirli kullanıcı adlarına ve makine adlarına sahip sistemlerde çalışmamak gibi çeşitli analiz karşıtı taktikler kullanır.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
Hem Chromium hem de Gecko tabanlı tarayıcıları hedefleyebilir, ayrıca Steam, Telegram gibi uygulamalara ve Atomic ve Exodus gibi kripto para cüzdanlarına veri yükleyebilir.
Hırsızın iki C2 sunucusu var; biri veri aktarımı için, diğeri ise enjeksiyon yükünü indirmek için. Kötü amaçlı yazılım servis sağlayıcısı, iddialarının kanıtı olarak VirusTotal’a örnekler göndererek bunu FUD (Tamamen Tespit Edilemez) olarak tanıtıyor. Ayrıca FUD olarak kalmasını garanti etmek için hırsızı düzenli olarak güncellerler.
Bu örnek, Start.bat dosyasının başlangıçta geçici dizindeki bir dosyaya yazılan bir base64 dizesi içerdiği bir Discord tanıtım oluşturucu aracı olduğunu iddia ediyor. Daha sonra certutil aracıyla şifresi çözülür ve çalıştırılır.
Yürütme tamamlandıktan sonra dosya sistemden kaldırılır. Kodu çözülmüş dosya, hırsızı C2 sunucusundan indiren bir yarasa dosyasıdır.
Trellix’ten araştırmacılar, VRChat’te bir NSFW Sohbet odası olan VR Chat ERP’yi tespit etti. Kurbanı hırsızı indirip çalıştırmaya ikna etmek için bir NSFW teması kullanılır.
Araştırmacılar, VRChatERPSetup.zip adlı zip paketini indiren bir URL keşfettiler. Celestial hırsızı olan AppSetup.exe adında bir yürütülebilir dosya içerir.
Çalıcı, kullanıcı verilerini, tarayıcı bilgilerini çalabilir ve Exodus ve Discord uygulamalarına yük aktarabilir.
Ayrıca Masaüstünde, İndirilen Belgelerde ve OneDrive Klasöründe belirli adlara sahip dosyaları bulmaya çalışır. Toplam boyut 50 MB’ı aşarsa Stealer dosyaları toplamayı durdurur.
Telegram ağında bir kötü amaçlı yazılım servis sağlayıcısı etkin. “göksel [group]29 Mayıs 2024 tarihinde kurulmuş olup, “göksel reklamlar” onun iki halka açık iletişim platformudur.
Grubun 30 Ekim 2024’te kapatılmasının ardından güncellemelerin paylaşılması için yeni bir kanal yapıldı. Üstelik Celestial Stealer kullanıcıları bir Telegram botuna da erişebiliyor. Kullanıcılar botu kullanarak Celestial Stealer’ın kendi versiyonunu tasarlayabilirler.
Bu nedenle bilgi hırsızları; şifreler, çerezler ve diğer bilgiler gibi hassas verileri elde edebildikleri için kullanıcı güvenliği açısından önemli bir risk oluşturur.
Celestial Stealer gibi JavaScript tabanlı bilgi hırsızlarının tespit edilmesi özellikle zordur çünkü karmaşık gizleme teknikleri kullanırlar ve kendilerini bağımsız Electron veya NodeJS uygulamaları olarak gizlerler.
Analyse Real-World Malware & Phishing Attacks With ANY.RUN - Get up to 3 Free Licenses