Зловреден софтуер Arcane Stealer
Киберпрестъпниците използват видеоклипове в YouTube, които популяризират измами за игри, за да разпространяват новоидентифициран зловреден софтуер, наречен Arcane. Този злонамерен софтуер за крадец е насочен предимно към рускоезични потребители и е способен да събира широк набор от чувствителни данни от компрометирани системи.
Съдържание
Как се разпространява Arcane
Атаката започва с връзки, вградени във видеоклипове в YouTube, които водят нищо неподозиращи потребители до защитени с парола архиви. Веднъж извлечени, тези архиви съдържат пакетен файл start.bat, който използва PowerShell за изтегляне и изпълнение на допълнителни файлове. По време на този процес защитата на Windows SmartScreen е деактивирана, за да се избегнат мерките за сигурност.
Зловреден софтуер изпълнява два ключови компонента: копач на криптовалута и злонамерен софтуер крадец. Първоначално крадецът беше идентифициран като VGS, вариант на Phemedrone Stealer, но до ноември 2024 г. нападателите преминаха към използването на Arcane. Въпреки че Arcane заимства елементи от други крадци, изследователите не са го свързали с някакво конкретно семейство зловреден софтуер.
Тайните кражби на данни
Arcane е проектиран да извлича голямо разнообразие от чувствителна информация, включително идентификационни данни за вход, пароли, данни за кредитни карти и бисквитки, съхранявани както в браузърите, базирани на Chromium, така и в Gecko. Той също така събира системни данни. Зловреден софтуер извлича конфигурационни файлове, настройки и подробности за акаунта от широк набор от приложения, включително:
- VPN клиенти : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN
- Мрежови клиенти и помощни програми : ngrok, Playit, Cyberduck, FileZilla, DynDNS
- Приложения за съобщения : ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber
- Имейл клиенти : Microsoft Outlook
- Клиенти и услуги за игри : Riot Client, Epic, Steam, Ubisoft Connect (по-рано Uplay), Roblox, Battle.net, различни клиенти на Minecraft
- Крипто портфейли : Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi
Освен стандартната кражба на идентификационни данни, Arcane използва усъвършенствани техники за подобряване на събирането на данни. Той използва API за защита на данните (DPAPI) за извличане на ключове за криптиране, използвани от браузърите за защита на съхранени пароли и бисквитки. Освен това, той изпълнява скрит екземпляр на помощната програма Xaitax, за да разбие тези ключове за криптиране, като гарантира пълен достъп до съхранените идентификационни данни. За да извлече бисквитки за удостоверяване от браузъри, базирани на Chromium, той стартира копие на браузъра през порт за отстраняване на грешки, заобикаляйки традиционните бариери за сигурност.
Появата на ArcanaLoader
В по-нататъшно развитие на тактиката си нападателите въведоха ArcanaLoader, заплашителен инструмент, маскиран като софтуер за изтегляне на мами за игри. Вместо мами, инструментът внедрява Arcane, разширявайки допълнително обхвата на зловреден софтуер. Кампанията е насочена предимно към потребители в Русия, Беларус и Казахстан.
Бързо адаптираща се киберзаплаха
Кампанията за зловреден софтуер Arcane подчертава адаптивността на киберпрестъпниците, които непрекъснато усъвършенстват методите си за атака. Arcane се откроява благодарение на обширните си възможности за събиране на данни и усъвършенствани техники за извличане на криптирана информация. Тази операция служи като напомняне, че дори привидно безобидни изтегляния на игри могат да бъдат вход към сериозни заплахи за сигурността.
