Celestial Stealer มัลแวร์สุดแสบ โจมตีเบราว์เซอร์และกระเป๋าเงินคริปโต

รายงานจาก Trellix Advanced Research Center เปิดเผยถึงการทำงานภายในของ Celestial Stealer ซึ่งเป็น Malware-as-a-Service (MaaS) ที่มีความซับซ้อน โดยมุ่งเป้าไปที่ นักพัฒนา นักเล่นเกม และผู้ใช้งานคริปโต มัลแวร์ชนิดนี้พัฒนาบน JavaScript โดยปลอมตัวเป็นแอปพลิเคชันที่ดูถูกกฎหมาย พร้อมด้วยเทคนิค ปิดบังและหลบเลี่ยงการตรวจจับขั้นสูง เพื่อขโมยข้อมูลสำคัญจากระบบที่ถูกบุกรุก

การทำงานของ Celestial Stealer

Celestial Stealer ถูกโฆษณาบน Telegram โดยให้บริการในรูปแบบ สมัครสมาชิก แบบรายสัปดาห์ รายเดือน หรือจ่ายครั้งเดียวสำหรับการใช้งานตลอดชีพ

รองรับการทำงานบน Windows 10 และ 11
สามารถแพร่กระจายได้ทั้งในรูปแบบแอปพลิเคชัน Electron หรือ NodeJS

Trellix ระบุว่า:

“มัลแวร์นี้มุ่งเป้าไปที่ Chromium และ Gecko-based browsers เช่น Steam, Telegram และกระเป๋าเงินคริปโต เช่น Atomic และ Exodus”

Celestial Stealer: มัลแวร์ MaaS ขโมยข้อมูลผู้ใช้งานและนักพัฒนา

รายงานจาก Trellix Advanced Research Center เปิดเผยถึงการทำงานภายในของ Celestial Stealer ซึ่งเป็น Malware-as-a-Service (MaaS) ที่มีความซับซ้อน โดยมุ่งเป้าไปที่ นักพัฒนา นักเล่นเกม และผู้ใช้งานคริปโต มัลแวร์ชนิดนี้พัฒนาบน JavaScript โดยปลอมตัวเป็นแอปพลิเคชันที่ดูถูกกฎหมาย พร้อมด้วยเทคนิค ปิดบังและหลบเลี่ยงการตรวจจับขั้นสูง เพื่อขโมยข้อมูลสำคัญจากระบบที่ถูกบุกรุก

การทำงานของ Celestial Stealer

รองรับการทำงานบน Windows 10 และ 11
สามารถแพร่กระจายได้ทั้งในรูปแบบแอปพลิเคชัน Electron หรือ NodeJS

Trellix ระบุว่า:

“มัลแวร์นี้มุ่งเป้าไปที่ Chromium และ Gecko-based browsers เช่น Steam, Telegram และกระเป๋าเงินคริปโต เช่น Atomic และ Exodus”

เทคนิคการหลบเลี่ยงการตรวจจับ

Celestial Stealer ใช้เทคนิค anti-analysis เช่น การตรวจสอบชื่อผู้ใช้และชื่อเครื่องคอมพิวเตอร์เพื่อหลบหลีกการตรวจจับ โดยผู้สร้างอ้างว่ามัลแวร์นี้เป็น “Fully Undetectable (FUD)” ซึ่งได้รับการยืนยันผ่านการส่งตัวอย่างไปยัง VirusTotal

วิธีการโจมตีหลักที่พบ

Discord Promotion Generator:
- เครื่องมือปลอมที่หลอกเป็นแอปพลิเคชัน Discord ใช้สำหรับดาวน์โหลดและถอดรหัส Payload ที่เป็น Base64 เพื่อติดตั้งมัลแวร์
VR Chat NSFW Application:
- หลอกว่าเป็นเครื่องมือเสริมสำหรับ VR Chat แต่มีการฝังไฟล์มัลแวร์ไว้

การทำงานที่เป็นอันตรายของ Celestial Stealer

ขโมยข้อมูล (Data Theft):
- ข้อมูลที่ถูกขโมย เช่น คุกกี้, รหัสผ่าน, ข้อมูลเติมข้อความอัตโนมัติ และบัตรเครดิตจากเว็บเบราว์เซอร์และกระเป๋าเงินคริปโต
การฝัง Payload (Application Injection):
- ฉีดมัลแวร์เข้าไปยังแอปพลิเคชันยอดนิยม เช่น Discord และ Exodus เพื่อดักจับข้อมูลบัญชีและรหัสผ่าน
ความคงอยู่ในระบบ (Persistence):
- ฝังตัวเองไว้ใน startup folder เพื่อให้รันอัตโนมัติเมื่อเปิดเครื่อง
หลบเลี่ยงการตรวจจับ (Anti-Detection):
- ใช้เทคนิคปิดบัง เช่น การลดความซับซ้อนของโค้ด, การเพิ่ม Junk Code และการหลบเลี่ยงการทำงานบน Sandbox

การขโมยข้อมูลออกจากระบบ

Celestial Stealer ใช้หลากหลายวิธีในการส่งข้อมูลออกจากเครื่องเหยื่อ:

ใช้ Discord webhooks, บอท Telegram และแพลตฟอร์มแชร์ไฟล์ เช่น gofile.io
ติดต่อกับ C2 servers โดยตรง เช่น admin.celestial-stealer[.]dev
แทนที่บริการปกติด้วยการใช้โครงสร้างพื้นฐาน C2 (Command-and-Control) ที่ปรับแต่งเอง

ข้อสรุป

Celestial Stealer แสดงให้เห็นถึงความรุนแรงของ MaaS (Malware-as-a-Service) ที่ผสมผสานความเชี่ยวชาญทางเทคนิคเข้ากับ โมเดลการค้าแบบมืออาชีพ Trellix เน้นย้ำว่า:

“มัลแวร์ Infostealers เป็นภัยคุกคามร้ายแรงต่อความปลอดภัยของผู้ใช้ สามารถขโมยข้อมูลสำคัญ เช่น รหัสผ่าน คุกกี้ และอื่น ๆ ได้”

องค์กรและผู้ใช้งานควรเฝ้าระวังและเพิ่มมาตรการความปลอดภัยให้เข้มงวดขึ้นเพื่อต่อสู้กับมัลแวร์ที่มีความซับซ้อนเช่นนี้

IOCs

File Hashes:

SHA256	Name
04debe522bc88e152d840a727bb0c6516994896d5bd74e3a48c89e2ef4c8e730	break.exe
a8a302a3299a778cdf5cacbc54057d681798baf4899c26427599a37ee681e857	Developer Setup 1.7.3.exe
f31bbd1a2a16bcdd990e6332a41c9b473d0437b669a04678e4d0ef06d5dab781	Game.exe
6802c39e0be7b82eaa25b98b061e324e812281f4fdd6a7ff05dcd9370ceb886e	ArenaWarsSetup.exe
ac16f44c05bb5e800f1cbd66a1256e717652f2244c99074300d8f64bec2503f5	Mayhemers.exe
bc609bdadaf2beb8e4a0fd8aad10145f2d31bc27a8f70e40187e4f58f7e152a0	Slinky.exe
26f89cee38263c449c8e154c8b35768593e8171c30dd638328c16294ac36f18d	Developer.exe
52180322da77c5fd2ecf33b692dee89c3d9391ddb15b40ec93b94db9f26833ed	Duck.exe
c65dd9691bbc93805ac6a1c755000075546843293f5695cf8f8719e0563db3d0	Discord-Promotion-Generator-main.zip
61c0610c84a0c75aee1f5d97d24cce2995834f177aa423f9509554017bec3cee	gen.py
e8284902c9d1c3d28ebfda230acc509ef5be47786590d3d647818d205a4a78f9	node.exe
c78fb7d3eda7014a84ee4618b3e28b1f5551f8e487b29a7179aebb219eeb0877	start.bat
19251875426af36307335bdeaeb770079f6ebfb095aec6f70eebb2145559ac0f	start.bat
5c97a829fecf7a0aa989b976bfe37759a2ad65ebbcacad39a2876955b16c2ad8	LeanJourney.exe
1b3526c18894b0b120dc5cfd691da7aaba6e6db94dbe99d3d2d6da41e7bb4eab	ArenaWarsSetup.exe
13f8ad68dce69c845801ea016feb4644c771b5193971cf631af07fb3a816ca02	HMC 2.2.0.exe
5fc66fa832517bae0ee3306def7ad55081a409d380d72f1c6c36362a9cbbc3be	VRChatERPSetup.zip
c70601eda62ac6a9b9135f9273299f90b443d8d11dfcfec4f836fb9da07a9dfa	AppSetup.exe
74c28e5c79639e2e653c8e18e64e488fec3337f29be3a450b93d6a2559e4669b	Exodus injection payload
5a6638f509e7b6dd1a8df35cc705531cd94f25e0346c13e54f4f8731f1c3651a	Discord injection payload
3c3c144a31c283e5e3296967515af01b0dd99954b0ed4124041cfdd8a8c90978	Discord injection payload
d4f3fc469e10c9a2fec6f266285556a21a84e39ff76488d3f502545dcd316d5a	Discord injection payload
2992586924a5cf67f918b38339d74df62ea5dcd90a38d78110a7aa4f9c974548	Discord injection payload
0b44254d019ccc1cc197741396c4cb70e2e3e9f6a7139cb661f8b98adcbf7a60	FarmIsland Setup 2.0.0.exe
cd5c8dea6e20e80bee93d3e3fc3e1a841fdbad316b444c8e79cced619d6d1e5b	MagneticRush.exe

URLs:

hxxps://admin[.]celestial-stealer[.]dev/api

hxxps://capguru-solver[.]com/index.js

hxxps://publicimgura[.]discloud[.]app/ex

hxxps://publicimgura[.]discloud[.]app/dc

hxxps://zerostone[.]discloud[.]app/dc-account

hxxps://zerostone[.]discloud[.]app/pc-data

hxxp://92[.]246[.]138[.]20:80/storage

hxxp://counters-strike2[.]org/log

hxxps://gonnacrack[.]discloud[.]app/dc

hxxps://unity-api[.]net/log

hxxps://nodeupdater[.]discloud[.]app/dc

hxxps://nodeupdater[.]discloud[.]app/ex

hxxps://now-here[.]fun/log

hxxps://nodeupdater[.]discloud[.]app/Node

hxxps://prnt-screen[.]com/log

hxxps://api-unreal[.]com/add_log

hxxps://spinit[.]discloud[.]app/dc

hxxps://python-developers[.]net/ex

hxxps://python-developers[.]net/shine

hxxps://python-developers[.]net/dc?celestial_customerId=1680726574&discord_warn=password

hxxps://python-developers[.]net/dc?celestial_customerId=1680726574&discord_warn=disabled

hxxps://python-developers[.]net/dc?celestial_customerId=1680726574&discord_warn=email

hxps://python-developers[.]net/dc?celestial_customerId=1680726574&discord_warn=2fa

hxxps://cdn[.]discordapp[.]com/attachments/1257095872119050412/1289229793019035658/VRChatERPSetup.zip?ex=66f8104f&is=66f6becf&hm=c7644bcbfb336dbd7ba6cc1d23799884d6063563c8258f08f5ee0079f3fdf798&

hxxps://discord[.]com/api/webhooks/1267588512384028843/8bzuUVUhTxXp8hSBex1Z95f9rZZ64n0WrVUDE7VgP4dc8Sm5KeXHEzfUOMfxDyssnBJf

hxxps://discord[.]com/api/webhooks/1267991686005391400/X3rWp82Sxtdr4bpPKg9cMFPcDSicZSXNNfdw0AFMVLqnBQj91wWACYQ0XtSDrTPK7xwI?wait=true

hxxps://api[.]telegram[.]org/bot6311499435:AAFQP3ud184cvNT7X2gfjaZnyazkEfzK7y8/sendDocument

hxxps://canary[.]discord[.]com/api/webhooks/1246331548886896731/WETNV8O_QTDHjBkeEYLFUwKBhdV5khOWNPotV1JejTwtkEuQ2jON9icniw6QlxlLE73n?wait=true

ที่มา
trellix.com
securityonline.info

Fomodailys

Fomodailys คือแหล่งข้อมูลข่าวสารที่ครบวงจรสำหรับ Cryptocurrency มุ่งเน้นการนำเสนอเนื้อหาที่น่าเชื่อถือและเข้าใจง่าย เพื่อช่วยให้ทุกคนสามารถก้าวเข้าสู่ยุคใหม่ของการเงินและเทคโนโลยี

เตือนภัย! Celestial Stealer มัลแวร์สุดแสบ โจมตีเบราว์เซอร์และกระเป๋าเงินคริปโต