عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة Arcane Stealer Malware

Arcane Stealer Malware

بواسطة Mezo في البرمجيات الخبيثة, سارقون
ترجمة الى:
العربية

يستغل مجرمو الإنترنت مقاطع فيديو على يوتيوب تُروّج لغشّ الألعاب لنشر برمجية خبيثة جديدة تُسمى "أركين". تستهدف هذه البرمجية الخبيثة السارقة بشكل رئيسي المستخدمين الناطقين بالروسية، وهي قادرة على جمع بيانات حساسة واسعة النطاق من الأنظمة المخترقة.

كيف ينتشر السحر

يبدأ الهجوم بروابط مُضمَّنة في فيديوهات يوتيوب، تُوجِّه المستخدمين غير المُدركين إلى أرشيفات محمية بكلمة مرور. بعد استخراجها، تحتوي هذه الأرشيفات على ملف دفعي start.bat، والذي يستخدم PowerShell لتنزيل ملفات إضافية وتنفيذها. أثناء هذه العملية، يتم تعطيل حماية Windows SmartScreen لتجنب إجراءات الأمان.

يُنفِّذ البرنامج الخبيث مكونين رئيسيين: مُعَدِّن عملات مشفرة وبرنامج خبيث سارق. في البداية، حُدِّدَ البرنامج السارق باسم VGS، وهو أحد أنواع برنامج Phemedrone Stealer، ولكن بحلول نوفمبر 2024، تحوّل المهاجمون إلى استخدام Arcane. في حين أن Arcane يستعير عناصر من برامج سارقة أخرى، إلا أن الباحثين لم يربطوه بأي عائلة برامج خبيثة محددة.

سرقات البيانات الغامضة

صُمم برنامج Arcane لاستخراج مجموعة واسعة من المعلومات الحساسة، بما في ذلك بيانات تسجيل الدخول وكلمات المرور وتفاصيل بطاقات الائتمان وملفات تعريف الارتباط المخزنة في متصفحات Chromium وGecko. كما يجمع بيانات النظام. يستخرج البرنامج الخبيث ملفات التكوين والإعدادات وتفاصيل الحساب من مجموعة واسعة من التطبيقات، بما في ذلك:

  • عملاء VPN : OpenVPN، Mullvad، NordVPN، IPVanish، Surfshark، Proton، hidemy.name، PIA، CyberGhost، ExpressVPN
  • عملاء الشبكة والمرافق : ngrok، Playit، Cyberduck، FileZilla، DynDNS
  • تطبيقات المراسلة : ICQ، Tox، Skype، Pidgin، Signal، Element، Discord، Telegram، Jabber، Viber
  • عملاء البريد الإلكتروني : Microsoft Outlook
  • عملاء وخدمات الألعاب : Riot Client، وEpic، وSteam، وUbisoft Connect (المعروف سابقًا باسم Uplay)، وRoblox، وBattle.net، وعملاء Minecraft المتنوعين
  • محافظ العملات المشفرة : Zcash، Armory، Bytecoin، Jaxx، Exodus، Ethereum، Electrum، Atomic، Guarda، Coinomi

بالإضافة إلى سرقة بيانات الاعتماد التقليدية، يستخدم Arcane تقنيات متطورة لتحسين جمع البيانات. فهو يستخدم واجهة برمجة تطبيقات حماية البيانات (DPAPI) لاستخراج مفاتيح التشفير التي تستخدمها المتصفحات لتأمين كلمات المرور وملفات تعريف الارتباط المخزنة. كما يُشغّل نسخة مخفية من أداة Xaitax لاختراق مفاتيح التشفير هذه، مما يضمن الوصول الكامل إلى بيانات الاعتماد المخزنة. ولاستخراج ملفات تعريف ارتباط المصادقة من متصفحات Chromium، يُشغّل نسخة من المتصفح عبر منفذ تصحيح، متجاوزًا بذلك حواجز الأمان التقليدية.

ظهور ArcanaLoader

في تطورٍ آخر لتكتيكاتهم، أطلق المهاجمون ArcanaLoader، وهي أداة تهديد مُتخفٍّ في صورة برنامج لتنزيل غش الألعاب. بدلاً من الغش، تستخدم الأداة Arcane، مما يزيد من نطاق انتشار البرنامج الخبيث. تستهدف الحملة بشكل رئيسي المستخدمين في روسيا وبيلاروسيا وكازاخستان.

تهديد سيبراني سريع التكيف

تُسلّط حملة Arcane الخبيثة الضوء على قدرة مجرمي الإنترنت على التكيّف، إذ يُطوّرون باستمرار أساليب هجومهم. وتتميز Arcane بقدراتها الواسعة على جمع البيانات وتقنياتها المتقدمة لاستخراج المعلومات المشفرة. تُذكّر هذه العملية بأنّ حتى تنزيلات غش الألعاب التي تبدو غير ضارة قد تُشكّل بوابةً لتهديدات أمنية خطيرة.

الشائع

شبكة بوتنت باليستا

شبكات الروبوتات
تم رصد حملة بوت نت جديدة تُسمى "باليستا"، تستهدف بشكل مباشر أجهزة توجيه TP-Link Archer غير المرقعة. وقد اكتشف باحثو الأمن السيبراني أن هذه الشبكة تستغل ثغرة تنفيذ التعليمات البرمجية عن بُعد (RCE) - CVE-2023-1389 - للانتشار عبر الإنترنت. تؤثر هذه الثغرة شديدة الخطورة على أجهزة توجيه TP-Link Archer AX-21، مما يسمح للمهاجمين بتنفيذ الأوامر عن بُعد والتحكم في الجهاز. جدول زمني للاستغلال يعود تاريخ...

اقتباس يلبي متطلباتنا - احتيال البريد الإلكتروني

التصيد الاحتيالي, رسائل إلكترونية مزعجة
يطور مجرمو الإنترنت باستمرار أساليب جديدة لخداع المستخدمين وتهديد أمنهم الشخصي والمالي. ومن الاستراتيجيات الشائعة استخدام مواقع إلكترونية احتيالية تُقلّد منصات شرعية، مصحوبة غالبًا برسائل تصيد احتيالي مصممة لجذب الضحايا إلى مخططاتهم. ومن الأمثلة الحديثة على ذلك عملية الاحتيال عبر البريد الإلكتروني "عرض سعر يلبي متطلباتنا"، التي تحاول سرقة بيانات اعتماد تسجيل الدخول إلى البريد الإلكتروني تحت...

الأكثر مشاهدة

جار التحميل...