Arcane Stealer -haittaohjelma
Kyberrikolliset hyödyntävät pelihuijauksia mainostavia YouTube-videoita levittääkseen äskettäin tunnistettua Arcane-nimistä haittaohjelmaa. Tämä varastava haittaohjelma kohdistuu ensisijaisesti venäjänkielisiin käyttäjiin ja pystyy keräämään laajan valikoiman arkaluontoisia tietoja vaarantuneista järjestelmistä.
Sisällysluettelo
Kuinka Arcane leviää
Hyökkäys alkaa YouTube-videoihin upotetuilla linkeillä, jotka johtavat hyväuskoiset käyttäjät salasanalla suojattuihin arkistoon. Kun nämä arkistot on purettu, ne sisältävät start.bat-kotatiedoston, joka lataa ja suorittaa lisätiedostoja PowerShellin avulla. Tämän prosessin aikana Windows SmartScreen -suojaus poistetaan käytöstä suojaustoimenpiteiden välttämiseksi.
Haittaohjelma suorittaa kaksi avainkomponenttia: kryptovaluutan louhinta ja varastava haittaohjelma. Aluksi varastaja tunnistettiin VGS:ksi, versioksi Phemedrone Stealerista, mutta marraskuuhun 2024 mennessä hyökkääjät olivat siirtyneet käyttämään Arcanea. Vaikka Arcane lainaa elementtejä muilta varastajilta, tutkijat eivät ole yhdistäneet sitä mihinkään tiettyyn haittaohjelmaperheeseen.
Data Arcane varastaa
Arcane on suunniteltu poimimaan monenlaisia arkaluonteisia tietoja, mukaan lukien kirjautumistiedot, salasanat, luottokorttitiedot ja evästeet, jotka on tallennettu sekä Chromium- että Gecko-pohjaisiin selaimiin. Se myös kerää järjestelmätietoja. Haittaohjelma poimii määritystiedostoja, asetuksia ja tilitietoja useista eri sovelluksista, mukaan lukien:
- VPN-asiakkaat : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN
- Verkkoasiakkaat ja apuohjelmat : ngrok, Playit, Cyberduck, FileZilla, DynDNS
- Viestintäsovellukset : ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber
- Sähköpostiohjelmat : Microsoft Outlook
- Peliasiakkaat ja -palvelut : Riot Client, Epic, Steam, Ubisoft Connect (entinen Uplay), Roblox, Battle.net, erilaiset Minecraft-asiakkaat
- Kryptolompakot : Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi
Tavanomaisten tunnistetietojen varkauksien lisäksi Arcane käyttää kehittyneitä tekniikoita tiedonkeruun tehostamiseksi. Se käyttää Data Protection API:ta (DPAPI) salausavainten poimimiseen, joita selaimet käyttävät suojatakseen tallennettuja salasanoja ja evästeitä. Lisäksi se suorittaa piilotetun Xaitax-apuohjelman esiintymän murtaakseen nämä salausavaimet ja varmistaakseen täyden pääsyn tallennettuihin valtuustietoihin. Todennusevästeiden poimimiseksi Chromium-pohjaisista selaimista se käynnistää selaimen kopion virheenkorjausportin kautta ohittaen perinteiset tietoturvaesteet.
ArcanaLoaderin ilmestyminen
Taktiikkansa jatkokehityksessä hyökkääjät ovat ottaneet käyttöön ArcanaLoaderin, uhkaavan työkalun, joka on naamioitu ohjelmistoksi pelihuijausten lataamiseen. Huijausten sijaan työkalu ottaa käyttöön Arcanen, mikä laajentaa haittaohjelman kattavuutta entisestään. Kampanja on suunnattu ensisijaisesti käyttäjille Venäjällä, Valko-Venäjällä ja Kazakstanissa.
Nopeasti sopeutuva kyberuhka
Arcane-haittaohjelmakampanja korostaa hyökkäysmenetelmiään jatkuvasti parantavien kyberrikollisten sopeutumiskykyä. Arcane erottuu edukseen laajoista tiedonkeruuominaisuuksistaan ja kehittyneistä salatun tiedon poimimistekniikoista. Tämä operaatio toimii muistutuksena siitä, että jopa näennäisesti vaarattomat pelien huijauslataukset voivat olla portti vakaville tietoturvauhkille.
