Arcane Stealer Malware

সাইবার অপরাধীরা ইউটিউব ভিডিও ব্যবহার করে গেম চিট প্রচার করে নতুন চিহ্নিত ম্যালওয়্যার "আরকেন" ছড়িয়ে দিচ্ছে। এই চুরিকারী ম্যালওয়্যারটি মূলত রাশিয়ান-ভাষী ব্যবহারকারীদের লক্ষ্য করে এবং ঝুঁকিপূর্ণ সিস্টেম থেকে বিস্তৃত সংবেদনশীল তথ্য সংগ্রহ করতে সক্ষম।

কিভাবে রহস্যময় ছড়িয়ে পড়ে

আক্রমণটি শুরু হয় ইউটিউব ভিডিওতে থাকা লিঙ্কগুলি দিয়ে যা সন্দেহাতীত ব্যবহারকারীদের পাসওয়ার্ড-সুরক্ষিত আর্কাইভে নিয়ে যায়। একবার বের করার পরে, এই আর্কাইভগুলিতে একটি start.bat ব্যাচ ফাইল থাকে, যা অতিরিক্ত ফাইল ডাউনলোড এবং চালানোর জন্য PowerShell ব্যবহার করে। এই প্রক্রিয়া চলাকালীন, নিরাপত্তা ব্যবস্থা এড়াতে Windows SmartScreen সুরক্ষা অক্ষম করা হয়।

এই ম্যালওয়্যার দুটি মূল উপাদান ব্যবহার করে: একটি ক্রিপ্টোকারেন্সি মাইনার এবং একটি স্টিলার ম্যালওয়্যার। প্রাথমিকভাবে, চুরিকারীকে VGS হিসেবে চিহ্নিত করা হয়েছিল, যা ফেমেড্রোন স্টিলারের একটি রূপ, কিন্তু ২০২৪ সালের নভেম্বরের মধ্যে, আক্রমণকারীরা Arcane ব্যবহার শুরু করে। যদিও Arcane অন্যান্য চুরিকারীর কাছ থেকে উপাদান ধার করে, গবেষকরা এটিকে কোনও নির্দিষ্ট ম্যালওয়্যার পরিবারের সাথে যুক্ত করেননি।

ডেটা রহস্যময় চুরি করে

Arcane বিভিন্ন ধরণের সংবেদনশীল তথ্য বের করার জন্য ডিজাইন করা হয়েছে, যার মধ্যে রয়েছে লগইন শংসাপত্র, পাসওয়ার্ড, ক্রেডিট কার্ডের বিবরণ এবং Chromium- এবং Gecko-ভিত্তিক ব্রাউজার উভয়ের মধ্যেই সংরক্ষিত কুকিজ। এটি সিস্টেমের ডেটাও সংগ্রহ করে। ম্যালওয়্যারটি বিভিন্ন ধরণের অ্যাপ্লিকেশন থেকে কনফিগারেশন ফাইল, সেটিংস এবং অ্যাকাউন্টের বিবরণ বের করে, যার মধ্যে রয়েছে:

• ভিপিএন ক্লায়েন্ট : ওপেনভিপিএন, মুলভাদ, নর্ডভিপিএন, আইপিভ্যানিশ, সার্ফশার্ক, প্রোটন, হাইডেমি.নেম, পিআইএ, সাইবারঘোস্ট, এক্সপ্রেসভিপিএন
• নেটওয়ার্ক ক্লায়েন্ট এবং ইউটিলিটি : ngrok, Playit, Cyberduck, FileZilla, DynDNS
• মেসেজিং অ্যাপস : আইসিকিউ, টক্স, স্কাইপ, পিডজিন, সিগন্যাল, এলিমেন্ট, ডিসকর্ড, টেলিগ্রাম, জ্যাবার, ভাইবার
• ইমেল ক্লায়েন্ট : মাইক্রোসফ্ট আউটলুক
• গেমিং ক্লায়েন্ট এবং পরিষেবা : রায়ট ক্লায়েন্ট, এপিক, স্টিম, ইউবিসফট কানেক্ট (পূর্বে ইউপ্লে), রোবলক্স, ব্যাটল ডটনেট, বিভিন্ন মাইনক্রাফ্ট ক্লায়েন্ট
• ক্রিপ্টো ওয়ালেট : Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi

স্ট্যান্ডার্ড ক্রেডেনশিয়াল চুরির বাইরেও, Arcane ডেটা সংগ্রহ উন্নত করার জন্য অত্যাধুনিক কৌশল ব্যবহার করে। এটি ব্রাউজার দ্বারা ব্যবহৃত সঞ্চিত পাসওয়ার্ড এবং কুকিজ সুরক্ষিত করার জন্য এনক্রিপশন কীগুলি বের করতে ডেটা প্রোটেকশন API (DPAPI) ব্যবহার করে। অতিরিক্তভাবে, এটি এই এনক্রিপশন কীগুলি ক্র্যাক করার জন্য Xaitax ইউটিলিটির একটি লুকানো উদাহরণ কার্যকর করে, যা সঞ্চিত ক্রেডেনশিয়ালগুলিতে সম্পূর্ণ অ্যাক্সেস নিশ্চিত করে। Chromium-ভিত্তিক ব্রাউজারগুলি থেকে প্রমাণীকরণ কুকিজ বের করার জন্য, এটি ঐতিহ্যবাহী সুরক্ষা বাধাগুলি বাইপাস করে একটি ডিবাগ পোর্টের মাধ্যমে ব্রাউজারের একটি অনুলিপি চালু করে।

আরকানালোডারের উত্থান

তাদের কৌশলের আরও বিবর্তনে, আক্রমণকারীরা ArcanaLoader চালু করেছে, যা গেম চিট ডাউনলোড করার জন্য সফ্টওয়্যারের ছদ্মবেশে একটি হুমকিস্বরূপ হাতিয়ার। চিটের পরিবর্তে, এই হাতিয়ারটি Arcane ব্যবহার করে, যা ম্যালওয়্যারের নাগাল আরও প্রসারিত করে। এই প্রচারণাটি মূলত রাশিয়া, বেলারুশ এবং কাজাখস্তানের ব্যবহারকারীদের লক্ষ্য করে তৈরি করা হয়েছে।

দ্রুত অভিযোজিত সাইবার হুমকি

আর্কেন ম্যালওয়্যার প্রচারণা সাইবার অপরাধীদের অভিযোজন ক্ষমতা তুলে ধরে যারা ক্রমাগত তাদের আক্রমণ পদ্ধতিগুলি পরিমার্জন করে। আর্কেন তার বিস্তৃত তথ্য সংগ্রহের ক্ষমতা এবং এনক্রিপ্ট করা তথ্য আহরণের জন্য উন্নত কৌশলগুলির কারণে আলাদা হয়ে ওঠে। এই অপারেশনটি একটি স্মারক হিসেবে কাজ করে যে এমনকি আপাতদৃষ্টিতে ক্ষতিকারক গেম চিট ডাউনলোডগুলিও গুরুতর নিরাপত্তা হুমকির প্রবেশদ্বার হতে পারে।