Arcane Stealeri pahavara
Küberkurjategijad kasutavad YouTube'i videoid, mis reklaamivad mängupettusi, et levitada äsja tuvastatud pahavara nimega Arcane. See varastatav pahavara on suunatud peamiselt vene keelt kõnelevatele kasutajatele ja on võimeline koguma ohustatud süsteemidest laia valikut tundlikke andmeid.
Sisukord
Kuidas Arkaan levib
Rünnak algab YouTube'i videotesse manustatud linkidega, mis viivad pahaaimamatud kasutajad parooliga kaitstud arhiividesse. Pärast ekstraktimist sisaldavad need arhiivid pakettfaili start.bat, mis kasutab PowerShelli täiendavate failide allalaadimiseks ja käivitamiseks. Selle protsessi ajal on Windows SmartScreeni kaitse turvameetmetest kõrvalehoidmiseks keelatud.
Pahavara käivitab kaks põhikomponenti: krüptovaluuta kaevandaja ja varastamine. Algselt tuvastati varastaja kui VGS, Phemedrone Stealeri variant, kuid 2024. aasta novembriks olid ründajad üle läinud Arcane'i kasutamisele. Kuigi Arcane laenab elemente teistelt varastajatelt, ei ole teadlased seda ühegi konkreetse pahavaraperekonnaga seostanud.
Andmete arkaan varastab
Arcane on loodud suure hulga tundliku teabe hankimiseks, sealhulgas sisselogimismandaadid, paroolid, krediitkaardi andmed ja küpsised, mis on salvestatud nii Chromiumi- kui ka Gecko-põhistesse brauseritesse. Samuti kogub see süsteemiandmeid. Pahavara ekstraktib konfiguratsioonifailid, sätted ja konto üksikasjad paljudest rakendustest, sealhulgas:
- VPN-i kliendid : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN
- Võrgukliendid ja utiliidid : ngrok, Playit, Cyberduck, FileZilla, DynDNS
- Sõnumirakendused : ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber
- Meilikliendid : Microsoft Outlook
- Mängukliendid ja -teenused : Riot Client, Epic, Steam, Ubisoft Connect (endine Uplay), Roblox, Battle.net, erinevad Minecrafti kliendid
- Krüptorahakotid : Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi
Lisaks tavapärasele mandaadivargustele kasutab Arcane andmete kogumise tõhustamiseks keerukaid tehnikaid. See kasutab andmekaitse API-d (DPAPI), et eraldada brauserite poolt salvestatud paroolide ja küpsiste kaitsmiseks kasutatavad krüpteerimisvõtmed. Lisaks käivitab see nende krüpteerimisvõtmete purustamiseks Xaitaxi utiliidi peidetud eksemplari, tagades täieliku juurdepääsu salvestatud mandaatidele. Autentimisküpsiste eraldamiseks Chromiumi-põhistest brauseritest käivitab see brauseri koopia silumispordi kaudu, minnes mööda traditsioonilistest turvatõketest.
ArcanaLoaderi tekkimine
Oma taktika edasiarendamisel on ründajad kasutusele võtnud ArcanaLoaderi, ähvardava tööriista, mis on maskeeritud mängupettuste allalaadimise tarkvaraks. Pettuste asemel juurutab tööriist Arcane'i, laiendades veelgi pahavara haaret. Kampaania sihib peamiselt Venemaa, Valgevene ja Kasahstani kasutajaid.
Kiiresti kohanev küberoht
Arcane'i pahavara kampaania tõstab esile küberkurjategijate kohanemisvõimet, kes täiustavad pidevalt oma ründemeetodeid. Arcane paistab silma oma ulatuslike andmete kogumise võimaluste ja krüpteeritud teabe ekstraheerimise täiustatud tehnikate poolest. See toiming tuletab meelde, et isegi näiliselt kahjutute mängude allalaadimine võib olla värav tõsistele turvaohtudele.
