Araştırmacılar, Windows sistemlerini hedef alan, gizleme ve anti-analiz teknikleriyle tespit edilmekten kaçınan, çeşitli tarayıcılardan, uygulamalardan ve kripto para birimi cüzdanlarından veri çalan JavaScript tabanlı bir MaaS bilgi hırsızı olan Celestial Stealer’ı keşfetti.
Bir Electron veya NodeJS uygulaması olarak çalışır, savunmasız uygulamalara kod enjekte eder ve C2 sunucularıyla iletişim kurar.
Kötü amaçlı yazılımın FUD durumu, düzenli güncellemeler ve aldatıcı taktiklerle korunuyor ve bu da onu kullanıcı gizliliği ve güvenliğine yönelik kalıcı bir tehdit haline getiriyor.
Kötü niyetli aktörler, VR Chat NSFW uygulaması olarak gizlenen bir hırsız dağıtıyor; burada “VRChatERPSetup.zip” arşivi, çok aşamalı bir indirme sürecini kullanan yürütülebilir bir dosyayı (AppSetup.exe) içeriyor.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
İlk komut dosyası (start.bat), gerçek hırsızı (Celestial) bir C2 sunucusundan indirmek için bir base64 dizesinin kodunu çözer ve bu daha sonra kötü amaçlı yazılım, bir yapılandırma botu ile sellix.io’da bir hizmet olarak satıldığından kullanıcı verilerini çalmak için kullanılır. Telegram aracılığıyla özelleştirmeye izin veriyor.
JavaScript tabanlı bir bilgi hırsızı olan Celestial Stealer, bir Electron uygulaması veya bağımsız bir NodeJS çalıştırılabilir dosyası olarak paketlenmiştir; tespitten kaçınmak ve analizi engellemek için gizleme ve çalışma zamanı kontrolleri gibi çeşitli anti-analiz tekniklerini kullanır.
Hırsızın yetenekleri arasında, karışıklığa neden olan kodun şifresi çözülürken ve yürütülürken, kurcalama olup olmadığını kontrol etmek, sistem tarihi ve platformunu analiz etmek ve kötü niyetli eylemler yürütmek yer alır; bu sırada, etkinliklerini gizlemek ve kalıcılığı korumak için genellikle PowerShell komut dosyalarından yararlanılır.
Sanal ortamları kontrol ederek ve tespit edilirse kendisini sonlandırarak kullanıcı verilerini ve kripto para birimlerini hedef alan ve belirli dosyaları ve kayıt defteri girişlerini arayarak kullanıcı kimlik bilgilerini, tarama geçmişini ve kripto cüzdanlarını çalan kötü amaçlı yazılımdır.
Yükleri indirmek ve çalınan verileri yüklemek için C2 sunucusuyla iletişim kurarak şifreleri, 2FA kodlarını, kredi kartı bilgilerini ve daha fazlasını çalmak için Exodus ve Discord uygulamalarına kötü amaçlı yükler enjekte ediyor.
Bir kullanıcının cihazından bilgi çalarak belirli anahtar kelimeleri içeren dosyaları çalabilir, ekran görüntüleri alabilir ve hedeflenen uygulamaları sonlandırabilir.
Önceki sürümlerde, verileri dışarı çıkarmak için meşru hizmetleri kullanıyordu ancak artık verileri kendi C2 sunucusuna gönderiyor.
Discord ve Exodus uygulamalarına kod enjekte eder ve bu platformlardan da bilgi çalar; Lite sürümü ise bu işlevlerin çoğunu kaldırır ve veri hırsızlığına odaklanır ve belirli HWID’lere sahip sistemlerden kaçınır.
Trellix’e göre, hem Chromium hem de Gecko tabanlı tarayıcıları ve gelişmiş VM karşıtı ve analiz karşıtı tekniklerle tespitten kaçan Discord ve Exodus gibi uygulamaları hedefliyor ve sürekli güncellemeler kalıcılığını sağlıyor.
Celestial Stealer, şifreler ve çerezler gibi hassas verileri çıkararak kullanıcı güvenliği açısından önemli bir risk oluşturuyor ve genellikle kendilerini meşru uygulamalar olarak gizleyen JavaScript tabanlı saldırıların artan tehlikesine dikkat çekiyor.
Analyse Real-World Malware & Phishing Attacks With ANY.RUN - Get up to 3 Free Licenses