Arcane Stealer Malware

פושעי סייבר ממנפים סרטוני YouTube המקדמים בגידות במשחקים כדי להפיץ תוכנה זדונית חדשה שזוהתה בשם Arcane. התוכנה הזדונית הגנבת הזו מכוונת בעיקר למשתמשים דוברי רוסית ומסוגלת לאסוף מגוון רחב של נתונים רגישים ממערכות שנפגעו.

כיצד מתפשט ארקיין

המתקפה מתחילה בקישורים המוטמעים בסרטוני יוטיוב שמובילים משתמשים תמימים לארכיונים מוגני סיסמה. לאחר החילוץ, הארכיונים האלה מכילים קובץ אצווה start.bat, המשתמש ב-PowerShell כדי להוריד ולהפעיל קבצים נוספים. במהלך תהליך זה, הגנת Windows SmartScreen מושבתת כדי להתחמק מאמצעי אבטחה.

התוכנה הזדונית מבצעת שני מרכיבי מפתח: כורה מטבעות קריפטוגרפיים ותוכנה זדונית של גנב. בתחילה, הגנב זוהה כ-VGS, גרסה של ה-Phemedrone Stealer, אך עד נובמבר 2024, התוקפים עברו להשתמש ב-Arcane. בעוד ש-Arcane שואל אלמנטים מגונבים אחרים, החוקרים לא קישרו אותו למשפחת תוכנות זדוניות ספציפיות.

The Data Arcane Steals

Arcane נועד לחלץ מגוון רחב של מידע רגיש, כולל אישורי כניסה, סיסמאות, פרטי כרטיס אשראי וקובצי Cookie המאוחסנים הן בדפדפנים מבוססי Chromium והן בגקו. זה גם אוסף נתוני מערכת. התוכנה הזדונית מחלצת קובצי תצורה, הגדרות ופרטי חשבון ממגוון רחב של יישומים, כולל:

• לקוחות VPN : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN
• לקוחות רשת וכלי שירות : ngrok, Playit, Cyberduck, FileZilla, DynDNS
• אפליקציות העברת הודעות : ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber
• לקוחות דוא"ל : Microsoft Outlook
• לקוחות ושירותי גיימינג : Riot Client, Epic, Steam, Ubisoft Connect (לשעבר Uplay), Roblox, Battle.net, לקוחות Minecraft שונים
• ארנקי קריפטו : Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi

מעבר לגניבת אישורים רגילה, Arcane משתמש בטכניקות מתוחכמות כדי לשפר את איסוף הנתונים. הוא משתמש ב-Data Protection API (DPAPI) כדי לחלץ מפתחות הצפנה המשמשים דפדפנים לאבטחת סיסמאות וקובצי Cookie מאוחסנים. בנוסף, הוא מפעיל מופע נסתר של כלי השירות Xaitax כדי לפצח את מפתחות ההצפנה הללו, מה שמבטיח גישה מלאה לאישורים מאוחסנים. כדי לחלץ עוגיות אימות מדפדפנים מבוססי Chromium, הוא משיק עותק של הדפדפן דרך יציאת ניפוי באגים, תוך עקיפת מחסומי אבטחה מסורתיים.

הופעתו של ArcanaLoader

בהתפתחות נוספת של הטקטיקה שלהם, התוקפים הציגו את ArcanaLoader, כלי מאיים המחופש לתוכנה להורדת צ'יטים במשחק. במקום צ'יטים, הכלי פורס את Arcane, ומרחיב עוד יותר את טווח ההגעה של התוכנה הזדונית. הקמפיין מכוון בעיקר למשתמשים ברוסיה, בלארוס וקזחסטן.

איום סייבר שמסתגל במהירות

מסע הפרסום של תוכנות זדוניות Arcane מדגיש את יכולת ההסתגלות של פושעי סייבר המשכללים ללא הרף את שיטות ההתקפה שלהם. Arcane בולט בזכות יכולות איסוף הנתונים הנרחבות שלה וטכניקות מתקדמות לחילוץ מידע מוצפן. פעולה זו משמשת כתזכורת לכך שאפילו הורדות של רמות משחקים בלתי מזיקות לכאורה יכולות להיות שער לאיומי אבטחה חמורים.