เตือนภัย! Celestial Stealer มัลแวร์สุดแสบ โจมตีเบราว์เซอร์และกระเป๋าเงินคริปโต
รายงานจาก Trellix Advanced Research Center เปิดเผยถึงการทำงานภายในของ Celestial Stealer ซึ่งเป็น Malware-as-a-Service (MaaS) ที่มีความซับซ้อน โดยมุ่งเป้าไปที่ นักพัฒนา นักเล่นเกม และผู้ใช้งานคริปโต มัลแวร์ชนิดนี้พัฒนาบน JavaScript โดยปลอมตัวเป็นแอปพลิเคชันที่ดูถูกกฎหมาย พร้อมด้วยเทคนิค ปิดบังและหลบเลี่ยงการตรวจจับขั้นสูง เพื่อขโมยข้อมูลสำคัญจากระบบที่ถูกบุกรุก
การทำงานของ Celestial Stealer
Celestial Stealer ถูกโฆษณาบน Telegram โดยให้บริการในรูปแบบ สมัครสมาชิก แบบรายสัปดาห์ รายเดือน หรือจ่ายครั้งเดียวสำหรับการใช้งานตลอดชีพ
- รองรับการทำงานบน Windows 10 และ 11
- สามารถแพร่กระจายได้ทั้งในรูปแบบแอปพลิเคชัน Electron หรือ NodeJS
Trellix ระบุว่า:
“มัลแวร์นี้มุ่งเป้าไปที่ Chromium และ Gecko-based browsers เช่น Steam, Telegram และกระเป๋าเงินคริปโต เช่น Atomic และ Exodus”
Celestial Stealer: มัลแวร์ MaaS ขโมยข้อมูลผู้ใช้งานและนักพัฒนา
รายงานจาก Trellix Advanced Research Center เปิดเผยถึงการทำงานภายในของ Celestial Stealer ซึ่งเป็น Malware-as-a-Service (MaaS) ที่มีความซับซ้อน โดยมุ่งเป้าไปที่ นักพัฒนา นักเล่นเกม และผู้ใช้งานคริปโต มัลแวร์ชนิดนี้พัฒนาบน JavaScript โดยปลอมตัวเป็นแอปพลิเคชันที่ดูถูกกฎหมาย พร้อมด้วยเทคนิค ปิดบังและหลบเลี่ยงการตรวจจับขั้นสูง เพื่อขโมยข้อมูลสำคัญจากระบบที่ถูกบุกรุก
การทำงานของ Celestial Stealer
Celestial Stealer ถูกโฆษณาบน Telegram โดยให้บริการในรูปแบบ สมัครสมาชิก แบบรายสัปดาห์ รายเดือน หรือจ่ายครั้งเดียวสำหรับการใช้งานตลอดชีพ
- รองรับการทำงานบน Windows 10 และ 11
- สามารถแพร่กระจายได้ทั้งในรูปแบบแอปพลิเคชัน Electron หรือ NodeJS
Trellix ระบุว่า:
“มัลแวร์นี้มุ่งเป้าไปที่ Chromium และ Gecko-based browsers เช่น Steam, Telegram และกระเป๋าเงินคริปโต เช่น Atomic และ Exodus”
เทคนิคการหลบเลี่ยงการตรวจจับ
Celestial Stealer ใช้เทคนิค anti-analysis เช่น การตรวจสอบชื่อผู้ใช้และชื่อเครื่องคอมพิวเตอร์เพื่อหลบหลีกการตรวจจับ โดยผู้สร้างอ้างว่ามัลแวร์นี้เป็น “Fully Undetectable (FUD)” ซึ่งได้รับการยืนยันผ่านการส่งตัวอย่างไปยัง VirusTotal
วิธีการโจมตีหลักที่พบ
- Discord Promotion Generator:
- เครื่องมือปลอมที่หลอกเป็นแอปพลิเคชัน Discord ใช้สำหรับดาวน์โหลดและถอดรหัส Payload ที่เป็น Base64 เพื่อติดตั้งมัลแวร์
- VR Chat NSFW Application:
- หลอกว่าเป็นเครื่องมือเสริมสำหรับ VR Chat แต่มีการฝังไฟล์มัลแวร์ไว้
การทำงานที่เป็นอันตรายของ Celestial Stealer
- ขโมยข้อมูล (Data Theft):
- ข้อมูลที่ถูกขโมย เช่น คุกกี้, รหัสผ่าน, ข้อมูลเติมข้อความอัตโนมัติ และบัตรเครดิตจากเว็บเบราว์เซอร์และกระเป๋าเงินคริปโต
- การฝัง Payload (Application Injection):
- ฉีดมัลแวร์เข้าไปยังแอปพลิเคชันยอดนิยม เช่น Discord และ Exodus เพื่อดักจับข้อมูลบัญชีและรหัสผ่าน
- ความคงอยู่ในระบบ (Persistence):
- ฝังตัวเองไว้ใน startup folder เพื่อให้รันอัตโนมัติเมื่อเปิดเครื่อง
- หลบเลี่ยงการตรวจจับ (Anti-Detection):
- ใช้เทคนิคปิดบัง เช่น การลดความซับซ้อนของโค้ด, การเพิ่ม Junk Code และการหลบเลี่ยงการทำงานบน Sandbox
การขโมยข้อมูลออกจากระบบ
Celestial Stealer ใช้หลากหลายวิธีในการส่งข้อมูลออกจากเครื่องเหยื่อ:
- ใช้ Discord webhooks, บอท Telegram และแพลตฟอร์มแชร์ไฟล์ เช่น gofile.io
- ติดต่อกับ C2 servers โดยตรง เช่น
admin.celestial-stealer[.]dev - แทนที่บริการปกติด้วยการใช้โครงสร้างพื้นฐาน C2 (Command-and-Control) ที่ปรับแต่งเอง
ข้อสรุป
Celestial Stealer แสดงให้เห็นถึงความรุนแรงของ MaaS (Malware-as-a-Service) ที่ผสมผสานความเชี่ยวชาญทางเทคนิคเข้ากับ โมเดลการค้าแบบมืออาชีพ Trellix เน้นย้ำว่า:
“มัลแวร์ Infostealers เป็นภัยคุกคามร้ายแรงต่อความปลอดภัยของผู้ใช้ สามารถขโมยข้อมูลสำคัญ เช่น รหัสผ่าน คุกกี้ และอื่น ๆ ได้”
องค์กรและผู้ใช้งานควรเฝ้าระวังและเพิ่มมาตรการความปลอดภัยให้เข้มงวดขึ้นเพื่อต่อสู้กับมัลแวร์ที่มีความซับซ้อนเช่นนี้
IOCs
File Hashes:
| SHA256 | Name |
| 04debe522bc88e152d840a727bb0c6516994896d5bd74e3a48c89e2ef4c8e730 | break.exe |
| a8a302a3299a778cdf5cacbc54057d681798baf4899c26427599a37ee681e857 | Developer Setup 1.7.3.exe |
| f31bbd1a2a16bcdd990e6332a41c9b473d0437b669a04678e4d0ef06d5dab781 | Game.exe |
| 6802c39e0be7b82eaa25b98b061e324e812281f4fdd6a7ff05dcd9370ceb886e | ArenaWarsSetup.exe |
| ac16f44c05bb5e800f1cbd66a1256e717652f2244c99074300d8f64bec2503f5 | Mayhemers.exe |
| bc609bdadaf2beb8e4a0fd8aad10145f2d31bc27a8f70e40187e4f58f7e152a0 | Slinky.exe |
| 26f89cee38263c449c8e154c8b35768593e8171c30dd638328c16294ac36f18d | Developer.exe |
| 52180322da77c5fd2ecf33b692dee89c3d9391ddb15b40ec93b94db9f26833ed | Duck.exe |
| c65dd9691bbc93805ac6a1c755000075546843293f5695cf8f8719e0563db3d0 | Discord-Promotion-Generator-main.zip |
| 61c0610c84a0c75aee1f5d97d24cce2995834f177aa423f9509554017bec3cee | gen.py |
| e8284902c9d1c3d28ebfda230acc509ef5be47786590d3d647818d205a4a78f9 | node.exe |
| c78fb7d3eda7014a84ee4618b3e28b1f5551f8e487b29a7179aebb219eeb0877 | start.bat |
| 19251875426af36307335bdeaeb770079f6ebfb095aec6f70eebb2145559ac0f | start.bat |
| 5c97a829fecf7a0aa989b976bfe37759a2ad65ebbcacad39a2876955b16c2ad8 | LeanJourney.exe |
| 1b3526c18894b0b120dc5cfd691da7aaba6e6db94dbe99d3d2d6da41e7bb4eab | ArenaWarsSetup.exe |
| 13f8ad68dce69c845801ea016feb4644c771b5193971cf631af07fb3a816ca02 | HMC 2.2.0.exe |
| 5fc66fa832517bae0ee3306def7ad55081a409d380d72f1c6c36362a9cbbc3be | VRChatERPSetup.zip |
| c70601eda62ac6a9b9135f9273299f90b443d8d11dfcfec4f836fb9da07a9dfa | AppSetup.exe |
| 74c28e5c79639e2e653c8e18e64e488fec3337f29be3a450b93d6a2559e4669b | Exodus injection payload |
| 5a6638f509e7b6dd1a8df35cc705531cd94f25e0346c13e54f4f8731f1c3651a | Discord injection payload |
| 3c3c144a31c283e5e3296967515af01b0dd99954b0ed4124041cfdd8a8c90978 | Discord injection payload |
| d4f3fc469e10c9a2fec6f266285556a21a84e39ff76488d3f502545dcd316d5a | Discord injection payload |
| 2992586924a5cf67f918b38339d74df62ea5dcd90a38d78110a7aa4f9c974548 | Discord injection payload |
| 0b44254d019ccc1cc197741396c4cb70e2e3e9f6a7139cb661f8b98adcbf7a60 | FarmIsland Setup 2.0.0.exe |
| cd5c8dea6e20e80bee93d3e3fc3e1a841fdbad316b444c8e79cced619d6d1e5b | MagneticRush.exe |
URLs:
| hxxps://admin[.]celestial-stealer[.]dev/api |
| hxxps://capguru-solver[.]com/index.js |
| hxxps://publicimgura[.]discloud[.]app/ex |
| hxxps://publicimgura[.]discloud[.]app/dc |
| hxxps://zerostone[.]discloud[.]app/dc-account |
| hxxps://zerostone[.]discloud[.]app/pc-data |
| hxxp://92[.]246[.]138[.]20:80/storage |
| hxxp://counters-strike2[.]org/log |
| hxxps://gonnacrack[.]discloud[.]app/dc |
| hxxps://unity-api[.]net/log |
| hxxps://nodeupdater[.]discloud[.]app/dc |
| hxxps://nodeupdater[.]discloud[.]app/ex |
| hxxps://now-here[.]fun/log |
| hxxps://nodeupdater[.]discloud[.]app/Node |
| hxxps://prnt-screen[.]com/log |
| hxxps://api-unreal[.]com/add_log |
| hxxps://spinit[.]discloud[.]app/dc |
| hxxps://python-developers[.]net/ex |
| hxxps://python-developers[.]net/shine |
| hxxps://python-developers[.]net/dc?celestial_customerId=1680726574&discord_warn=password |
| hxxps://python-developers[.]net/dc?celestial_customerId=1680726574&discord_warn=disabled |
| hxxps://python-developers[.]net/dc?celestial_customerId=1680726574&discord_warn=email |
| hxps://python-developers[.]net/dc?celestial_customerId=1680726574&discord_warn=2fa |
| hxxps://cdn[.]discordapp[.]com/attachments/1257095872119050412/1289229793019035658/VRChatERPSetup.zip?ex=66f8104f&is=66f6becf&hm=c7644bcbfb336dbd7ba6cc1d23799884d6063563c8258f08f5ee0079f3fdf798& |
| hxxps://discord[.]com/api/webhooks/1267588512384028843/8bzuUVUhTxXp8hSBex1Z95f9rZZ64n0WrVUDE7VgP4dc8Sm5KeXHEzfUOMfxDyssnBJf |
| hxxps://discord[.]com/api/webhooks/1267991686005391400/X3rWp82Sxtdr4bpPKg9cMFPcDSicZSXNNfdw0AFMVLqnBQj91wWACYQ0XtSDrTPK7xwI?wait=true |
| hxxps://api[.]telegram[.]org/bot6311499435:AAFQP3ud184cvNT7X2gfjaZnyazkEfzK7y8/sendDocument |
| hxxps://canary[.]discord[.]com/api/webhooks/1246331548886896731/WETNV8O_QTDHjBkeEYLFUwKBhdV5khOWNPotV1JejTwtkEuQ2jON9icniw6QlxlLE73n?wait=true |
ที่มา
trellix.com
securityonline.info
Fomodailys คือแหล่งข้อมูลข่าวสารที่ครบวงจรสำหรับ Cryptocurrency มุ่งเน้นการนำเสนอเนื้อหาที่น่าเชื่อถือและเข้าใจง่าย เพื่อช่วยให้ทุกคนสามารถก้าวเข้าสู่ยุคใหม่ของการเงินและเทคโนโลยี
