Главная страница » IOC
0
2 месяца
IOC

Celestial Stealer IOCs

Spyware

Проведя проактивный поиск, Центр перспективных исследований Trellix обнаружил новую угрозу - вредоносный инфопохититель Celestial Stealer, разработанный на языке JavaScript. Этот вредоносный инструмент распространяется как сервис (MaaS) и рекламируется на платформе Telegram. Пользователи могут оформить подписку на неделю, месяц или пожизненно, получив доступ к различным вредоносным возможностям инфопохитителя.

Celestial Stealer

Celestial Stealer нацелен на браузеры, основанные на Chromium и Gecko, а также на популярные приложения, такие как Steam, Telegram и некоторые криптовалютные кошельки. Используя различные методы защиты от анализа, авторы инфопохитителя стремятся предотвратить его обнаружение. Код инфопохитителя сильно обфусцирован, и он не запускается на системах с определенными именами пользователей и компьютеров. Он также может внедрять свой код в популярные приложения, такие как Exodus и Discord. У инфопохитителя есть два C2-сервера: один для отправки данных, а другой - для загрузки полезной нагрузки инъекции.

Интересно отметить, что поставщик услуг по обнаружению и борьбе с вредоносным ПО рекламирует Celestial Stealer как полностью недетектируемый (FUD). Они периодически обновляют инфопохититель, чтобы гарантировать его недетектируемость на лучшем сегодняшнем решении обеспечения безопасности. Celestial Stealer, написанный на JavaScript, может быть упакован как приложение Electron или отдельное приложение NodeJS для операционных систем Windows 10 и Windows 11.

В цепочке заражения обнаружены два способа попадания инфопохитителя на компьютеры пользователей. В одном случае, Celestial Stealer замаскирован под генератор рекламы в Discord и содержит несколько доброкачественных файлов, а также исполняемый бат-файл, который загружает инфопохититель. В другом случае, инфопохититель маскируется под VR Chat NSFW-приложение и распространяется через ссылку на загрузку zip-архива.

Провайдер услуг обнаружения и борьбы с вредоносным ПО активен на платформе Telegram и рекламирует свои услуги через публичные каналы. У него также есть телеграм-бот, который позволяет пользователям создавать свои собственные версии Celestial Stealer с различными параметрами, а также получать обновления с новыми функциями.

Интересно отметить, что вредоносное программное обеспечение Celestial Stealer продается на платформе Rewarble.io, где пользователи могут приобрести подписку на инфопохититель, используя криптовалюту или подарочные сертификаты. Провайдер услуг также предоставляет различные варианты подписок для пользователей.

Инфопохититель Celestial Stealer продолжает быть активно развиваемым и обновляемым, и его разработчики предпринимают шаги для его недетектируемости с целью уклониться от обнаружения и обходить существующие защитные меры.

Indicators of Compromise

URLs

  • http://92.246.138.20:80/storage
  • http://counters-strike2.org/log
  • https://admin.celestial-stealer.dev/api
  • https://api.telegram.org/bot6311499435:AAFQP3ud184cvNT7X2gfjaZnyazkEfzK7y8/sendDocument
  • https://api-unreal.com/add_log
  • https://canary.discord.com/api/webhooks/1246331548886896731/WETNV8O_QTDHjBkeEYLFUwKBhdV5khOWNPotV1JejTwtkEuQ2jON9icniw6QlxlLE73n?wait=true
  • https://capguru-solver.com/index.js
  • https://cdn.discordapp.com/attachments/1257095872119050412/1289229793019035658/VRChatERPSetup.zip?ex=66f8104f&is=66f6becf&hm=c7644bcbfb336dbd7ba6cc1d23799884d6063563c8258f08f5ee0079f3fdf798&
  • https://discord.com/api/webhooks/1267588512384028843/8bzuUVUhTxXp8hSBex1Z95f9rZZ64n0WrVUDE7VgP4dc8Sm5KeXHEzfUOMfxDyssnBJf
  • https://discord.com/api/webhooks/1267991686005391400/X3rWp82Sxtdr4bpPKg9cMFPcDSicZSXNNfdw0AFMVLqnBQj91wWACYQ0XtSDrTPK7xwI?wait=true
  • https://gonnacrack.discloud.app/dc
  • https://nodeupdater.discloud.app/dc
  • https://nodeupdater.discloud.app/ex
  • https://nodeupdater.discloud.app/Node
  • https://now-here.fun/log
  • https://prnt-screen.com/log
  • https://publicimgura.discloud.app/dc
  • https://publicimgura.discloud.app/ex
  • https://python-developers.net/dc?celestial_customerId=1680726574&discord_warn=2fa
  • https://python-developers.net/dc?celestial_customerId=1680726574&discord_warn=disabled
  • https://python-developers.net/dc?celestial_customerId=1680726574&discord_warn=email
  • https://python-developers.net/dc?celestial_customerId=1680726574&discord_warn=password
  • https://python-developers.net/ex
  • https://python-developers.net/shine
  • https://spinit.discloud.app/dc
  • https://unity-api.net/log
  • https://zerostone.discloud.app/dc-account
  • https://zerostone.discloud.app/pc-data

SHA256

  • 04debe522bc88e152d840a727bb0c6516994896d5bd74e3a48c89e2ef4c8e730
  • 0b44254d019ccc1cc197741396c4cb70e2e3e9f6a7139cb661f8b98adcbf7a60
  • 13f8ad68dce69c845801ea016feb4644c771b5193971cf631af07fb3a816ca02
  • 19251875426af36307335bdeaeb770079f6ebfb095aec6f70eebb2145559ac0f
  • 1b3526c18894b0b120dc5cfd691da7aaba6e6db94dbe99d3d2d6da41e7bb4eab
  • 26f89cee38263c449c8e154c8b35768593e8171c30dd638328c16294ac36f18d
  • 2992586924a5cf67f918b38339d74df62ea5dcd90a38d78110a7aa4f9c974548
  • 3c3c144a31c283e5e3296967515af01b0dd99954b0ed4124041cfdd8a8c90978
  • 52180322da77c5fd2ecf33b692dee89c3d9391ddb15b40ec93b94db9f26833ed
  • 5a6638f509e7b6dd1a8df35cc705531cd94f25e0346c13e54f4f8731f1c3651a
  • 5c97a829fecf7a0aa989b976bfe37759a2ad65ebbcacad39a2876955b16c2ad8
  • 5fc66fa832517bae0ee3306def7ad55081a409d380d72f1c6c36362a9cbbc3be
  • 61c0610c84a0c75aee1f5d97d24cce2995834f177aa423f9509554017bec3cee
  • 6802c39e0be7b82eaa25b98b061e324e812281f4fdd6a7ff05dcd9370ceb886e
  • 74c28e5c79639e2e653c8e18e64e488fec3337f29be3a450b93d6a2559e4669b
  • a8a302a3299a778cdf5cacbc54057d681798baf4899c26427599a37ee681e857
  • ac16f44c05bb5e800f1cbd66a1256e717652f2244c99074300d8f64bec2503f5
  • bc609bdadaf2beb8e4a0fd8aad10145f2d31bc27a8f70e40187e4f58f7e152a0
  • c65dd9691bbc93805ac6a1c755000075546843293f5695cf8f8719e0563db3d0
  • c70601eda62ac6a9b9135f9273299f90b443d8d11dfcfec4f836fb9da07a9dfa
  • c78fb7d3eda7014a84ee4618b3e28b1f5551f8e487b29a7179aebb219eeb0877
  • cd5c8dea6e20e80bee93d3e3fc3e1a841fdbad316b444c8e79cced619d6d1e5b
  • d4f3fc469e10c9a2fec6f266285556a21a84e39ff76488d3f502545dcd316d5a
  • e8284902c9d1c3d28ebfda230acc509ef5be47786590d3d647818d205a4a78f9
  • f31bbd1a2a16bcdd990e6332a41c9b473d0437b669a04678e4d0ef06d5dab781
Комментарии: 0
Похожие записи
0
2 дня
IOC

Salvador Stealer: Новое вредоносное ПО для Android, которое выманивает банковские реквизиты и OTP

Spyware
Вредоносная программа Salvador Stealer, обнаруженная и проанализированная командой any.run, скрывается под видом банковского приложения для Android и предназначена для кражи конфиденциальной информации пользователей.
0
21 день
IOC

Фишинговая кампания выдает себя за Booking.com и поставляет набор вредоносных программ для кражи учетных данных

phishing
В декабре 2024 года была обнаружена фишинговая кампания, которая представляла себя как популярное онлайн-агентство путешествий Booking.com. Эта кампания, известная как Storm-1865, была нацелена на гостиничный
0
22 дня
IOC

Тенденциях развития Infostealer за февраль 2025 года

Spyware
Для сбора данных и противодействия Infostealer разведывательный центр AhnLab Security использует разные системы, такие как автоматическая система сбора вредоносных программ, медовые точки электронной почты и система анализа C2-информации.
0
23 дня
IOC

Поддельные репозитории GitHub, созданные с помощью искусственного интеллекта, способствуют распространению SmartLoader и LummaStealer

security
Киберпреступники используют поддельные репозитории GitHub для распространения вредоносных программ. Эти репозитории представляют собой легитимные инструменты, такие как игровые читы, взломанное программное