Κακόβουλο λογισμικό Arcane Stealer
Οι εγκληματίες του κυβερνοχώρου αξιοποιούν τα βίντεο του YouTube που προωθούν απατεώνες παιχνιδιών για να διανείμουν ένα πρόσφατα εντοπισμένο κακόβουλο λογισμικό που ονομάζεται Arcane. Αυτό το κακόβουλο λογισμικό κλοπής στοχεύει κυρίως ρωσόφωνους χρήστες και είναι σε θέση να συλλέξει ένα ευρύ φάσμα ευαίσθητων δεδομένων από παραβιασμένα συστήματα.
Πίνακας περιεχομένων
Πώς εξαπλώνεται το απόκρυφο
Η επίθεση ξεκινά με συνδέσμους που είναι ενσωματωμένοι σε βίντεο του YouTube που οδηγούν ανυποψίαστους χρήστες σε αρχεία που προστατεύονται με κωδικό πρόσβασης. Αφού εξαχθούν, αυτά τα αρχεία περιέχουν ένα αρχείο δέσμης start.bat, το οποίο χρησιμοποιεί το PowerShell για τη λήψη και την εκτέλεση πρόσθετων αρχείων. Κατά τη διάρκεια αυτής της διαδικασίας, η προστασία SmartScreen των Windows απενεργοποιείται για την αποφυγή μέτρων ασφαλείας.
Το κακόβουλο λογισμικό εκτελεί δύο βασικά στοιχεία: έναν εξόρυξη κρυπτονομισμάτων και ένα κακόβουλο λογισμικό κλοπής. Αρχικά, ο κλέφτης αναγνωρίστηκε ως VGS, μια παραλλαγή του Phemedrone Stealer, αλλά μέχρι τον Νοέμβριο του 2024, οι επιτιθέμενοι είχαν αλλάξει στη χρήση του Arcane. Ενώ το Arcane δανείζεται στοιχεία από άλλους κλέφτες, οι ερευνητές δεν το έχουν συνδέσει με κάποια συγκεκριμένη οικογένεια κακόβουλου λογισμικού.
The Data Arcane Steals
Το Arcane έχει σχεδιαστεί για να εξάγει μια μεγάλη ποικιλία ευαίσθητων πληροφοριών, συμπεριλαμβανομένων των διαπιστευτηρίων σύνδεσης, των κωδικών πρόσβασης, των στοιχείων πιστωτικής κάρτας και των cookies που είναι αποθηκευμένα σε προγράμματα περιήγησης που βασίζονται στο Chromium και στο Gecko. Συγκεντρώνει επίσης δεδομένα συστήματος. Το κακόβουλο λογισμικό εξάγει αρχεία διαμόρφωσης, ρυθμίσεις και λεπτομέρειες λογαριασμού από ένα ευρύ φάσμα εφαρμογών, όπως:
- Πελάτες VPN : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN
- Πελάτες δικτύου και βοηθητικά προγράμματα : ngrok, Playit, Cyberduck, FileZilla, DynDNS
- Εφαρμογές ανταλλαγής μηνυμάτων : ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber
- Πελάτες ηλεκτρονικού ταχυδρομείου : Microsoft Outlook
- Πελάτες και υπηρεσίες gaming : Riot Client, Epic, Steam, Ubisoft Connect (πρώην Uplay), Roblox, Battle.net, διάφοροι πελάτες Minecraft
- Πορτοφόλια κρυπτογράφησης : Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi
Πέρα από την τυπική κλοπή διαπιστευτηρίων, η Arcane χρησιμοποιεί εξελιγμένες τεχνικές για τη βελτίωση της συλλογής δεδομένων. Χρησιμοποιεί το API Προστασίας Δεδομένων (DPAPI) για την εξαγωγή κλειδιών κρυπτογράφησης που χρησιμοποιούνται από προγράμματα περιήγησης για την ασφάλεια των αποθηκευμένων κωδικών πρόσβασης και των cookies. Επιπλέον, εκτελεί μια κρυφή παρουσία του βοηθητικού προγράμματος Xaitax για να σπάσει αυτά τα κλειδιά κρυπτογράφησης, εξασφαλίζοντας πλήρη πρόσβαση στα αποθηκευμένα διαπιστευτήρια. Για την εξαγωγή cookie ελέγχου ταυτότητας από προγράμματα περιήγησης που βασίζονται στο Chromium, εκκινεί ένα αντίγραφο του προγράμματος περιήγησης μέσω μιας θύρας εντοπισμού σφαλμάτων, παρακάμπτοντας τα παραδοσιακά εμπόδια ασφαλείας.
Η εμφάνιση του ArcanaLoader
Σε μια περαιτέρω εξέλιξη της τακτικής τους, οι επιτιθέμενοι εισήγαγαν το ArcanaLoader, ένα απειλητικό εργαλείο που μεταμφιέζεται ως λογισμικό για τη λήψη cheat παιχνιδιών. Αντί για απατεώνες, το εργαλείο αναπτύσσει το Arcane, επεκτείνοντας περαιτέρω την εμβέλεια του κακόβουλου λογισμικού. Η καμπάνια στοχεύει κυρίως χρήστες στη Ρωσία, τη Λευκορωσία και το Καζακστάν.
Μια Ταχέως Προσαρμόσιμη Κυβερνοαπειλή
Η εκστρατεία κακόβουλου λογισμικού Arcane υπογραμμίζει την προσαρμοστικότητα των εγκληματιών του κυβερνοχώρου που βελτιώνουν συνεχώς τις μεθόδους επίθεσης. Το Arcane ξεχωρίζει λόγω των εκτεταμένων δυνατοτήτων συλλογής δεδομένων και των προηγμένων τεχνικών εξαγωγής κρυπτογραφημένων πληροφοριών. Αυτή η λειτουργία χρησιμεύει ως υπενθύμιση ότι ακόμη και οι φαινομενικά αβλαβείς λήψεις cheat παιχνιδιών μπορούν να αποτελέσουν πύλη σε σοβαρές απειλές ασφαλείας.
