بدافزار Arcane Stealer

مجرمان سایبری از ویدیوهای یوتیوب استفاده می کنند که تقلب های بازی را تبلیغ می کنند تا بدافزار تازه شناسایی شده ای به نام Arcane را توزیع کنند. این بدافزار دزد در درجه اول کاربران روسی زبان را هدف قرار می دهد و می تواند طیف گسترده ای از داده های حساس را از سیستم های در معرض خطر جمع آوری کند.

چگونه محرمانه گسترش می یابد

این حمله با پیوندهای تعبیه شده در ویدیوهای یوتیوب آغاز می شود که کاربران ناآگاه را به آرشیوهای محافظت شده با رمز عبور هدایت می کند. پس از استخراج، این بایگانی ها حاوی یک فایل دسته ای start.bat هستند که از PowerShell برای دانلود و اجرای فایل های اضافی استفاده می کند. در طول این فرآیند، محافظت از Windows SmartScreen برای فرار از اقدامات امنیتی غیرفعال می شود.

این بدافزار دو جزء کلیدی را اجرا می کند: یک ماینر ارز دیجیتال و یک بدافزار دزد. در ابتدا، سارق به عنوان VGS شناخته شد، یک گونه از Phedrone Stealer، اما در نوامبر 2024، مهاجمان به استفاده از Arcane روی آوردند. در حالی که Arcane عناصر را از سارقان دیگر قرض گرفته است، محققان آن را به خانواده بدافزار خاصی مرتبط نکرده اند.

اطلاعات محرمانه سرقت می کند

Arcane برای استخراج طیف گسترده ای از اطلاعات حساس، از جمله اعتبار ورود، رمز عبور، جزئیات کارت اعتباری و کوکی های ذخیره شده در مرورگرهای مبتنی بر Chromium و Gecko طراحی شده است. همچنین داده های سیستم را جمع آوری می کند. این بدافزار فایل های پیکربندی، تنظیمات و جزئیات حساب را از طیف گسترده ای از برنامه ها استخراج می کند، از جمله:

• مشتریان VPN : OpenVPN، Mullvad، NordVPN، IPVanish، Surfshark، Proton، hidemy.name، PIA، CyberGhost، ExpressVPN
• سرویس گیرندگان و ابزارهای شبکه : ngrok، Playit، Cyberduck، FileZilla، DynDNS
• برنامه های پیام رسانی : ICQ، Tox، Skype، Pidgin، Signal، Element، Discord، Telegram، Jabber، Viber
• سرویس گیرندگان ایمیل : Microsoft Outlook
• مشتریان و خدمات بازی : Riot Client، Epic، Steam، Ubisoft Connect (سابق Uplay)، Roblox، Battle.net، مشتریان مختلف Minecraft
• کیف پول های رمزنگاری شده : Zcash، Armory، Bytecoin، Jaxx، Exodus، Ethereum، Electrum، Atomic، Guarda، Coinomi

فراتر از سرقت مدارک استاندارد، Arcane از تکنیک های پیچیده برای افزایش جمع آوری داده ها استفاده می کند. از API حفاظت از داده (DPAPI) برای استخراج کلیدهای رمزگذاری استفاده شده توسط مرورگرها برای ایمن کردن رمزهای عبور ذخیره شده و کوکی ها استفاده می کند. علاوه بر این، یک نمونه مخفی از ابزار Xaitax را برای شکستن این کلیدهای رمزگذاری اجرا می کند و دسترسی کامل به اعتبارنامه های ذخیره شده را تضمین می کند. برای استخراج کوکی‌های احراز هویت از مرورگرهای مبتنی بر Chromium، یک کپی از مرورگر را از طریق یک درگاه اشکال‌زدایی راه‌اندازی می‌کند و موانع امنیتی سنتی را دور می‌زند.

ظهور ArcanaLoader

در تکامل بیشتر تاکتیک‌های خود، مهاجمان ArcanaLoader را معرفی کرده‌اند، ابزاری تهدیدکننده که به عنوان نرم‌افزاری برای دانلود تقلب‌های بازی پنهان شده است. این ابزار به جای تقلب، Arcane را به کار می گیرد و دامنه دسترسی بدافزار را بیشتر می کند. این کمپین عمدتاً کاربران روسیه، بلاروس و قزاقستان را هدف قرار می دهد.

یک تهدید سایبری در حال تطبیق سریع

کمپین بدافزار Arcane سازگاری مجرمان سایبری را برجسته می کند که به طور مداوم روش های حمله خود را اصلاح می کنند. Arcane به دلیل قابلیت های گسترده جمع آوری داده ها و تکنیک های پیشرفته برای استخراج اطلاعات رمزگذاری شده برجسته است. این عملیات به عنوان یادآوری است که حتی دانلودهای تقلب بازی به ظاهر بی ضرر می تواند دروازه ای برای تهدیدات امنیتی شدید باشد.