Arcane Stealer Malware

साइबर अपराधी गेम चीट को बढ़ावा देने वाले YouTube वीडियो का लाभ उठाकर आर्केन नामक एक नए पहचाने गए मैलवेयर को वितरित कर रहे हैं। यह चोरी करने वाला मैलवेयर मुख्य रूप से रूसी भाषी उपयोगकर्ताओं को लक्षित करता है और समझौता किए गए सिस्टम से संवेदनशील डेटा की एक विस्तृत श्रृंखला एकत्र करने में सक्षम है।

आर्केन कैसे फैलता है

यह हमला YouTube वीडियो में एम्बेड किए गए लिंक से शुरू होता है जो अनजान उपयोगकर्ताओं को पासवर्ड-संरक्षित अभिलेखागार तक ले जाता है। निकाले जाने के बाद, इन अभिलेखागारों में एक start.bat बैच फ़ाइल होती है, जो अतिरिक्त फ़ाइलों को डाउनलोड करने और निष्पादित करने के लिए PowerShell का उपयोग करती है। इस प्रक्रिया के दौरान, सुरक्षा उपायों से बचने के लिए Windows SmartScreen सुरक्षा अक्षम कर दी जाती है।

मैलवेयर दो मुख्य घटकों को क्रियान्वित करता है: एक क्रिप्टोकरेंसी माइनर और एक स्टीलर मैलवेयर। शुरुआत में, स्टीलर की पहचान वीजीएस के रूप में की गई थी, जो फेमेड्रोन स्टीलर का एक प्रकार है, लेकिन नवंबर 2024 तक, हमलावरों ने आर्केन का उपयोग करना शुरू कर दिया था। जबकि आर्केन अन्य स्टीलर्स से तत्व उधार लेता है, शोधकर्ताओं ने इसे किसी विशिष्ट मैलवेयर परिवार से नहीं जोड़ा है।

डेटा आर्केन चुराता है

आर्केन को क्रोमियम और गेको-आधारित ब्राउज़रों में संग्रहीत लॉगिन क्रेडेंशियल, पासवर्ड, क्रेडिट कार्ड विवरण और कुकीज़ सहित कई तरह की संवेदनशील जानकारी निकालने के लिए डिज़ाइन किया गया है। यह सिस्टम डेटा भी इकट्ठा करता है। मैलवेयर कई तरह के अनुप्रयोगों से कॉन्फ़िगरेशन फ़ाइलें, सेटिंग्स और खाता विवरण निकालता है, जिनमें शामिल हैं:

• वीपीएन क्लाइंट : ओपनवीपीएन, मुल्लवड, नॉर्डवीपीएन, आईपीवीनिश, सर्फशार्क, प्रोटॉन, हिडेमाई.नेम, पीआईए, साइबरघोस्ट, एक्सप्रेसवीपीएन
• नेटवर्क क्लाइंट और उपयोगिताएँ : ngrok, Playit, Cyberduck, FileZilla, DynDNS
• मैसेजिंग ऐप्स : आईसीक्यू, टॉक्स, स्काइप, पिजिन, सिग्नल, एलिमेंट, डिस्कॉर्ड, टेलीग्राम, जैबर, वाइबर
• ईमेल क्लाइंट : माइक्रोसॉफ्ट आउटलुक
• गेमिंग क्लाइंट और सेवाएँ : रायट क्लाइंट, एपिक, स्टीम, यूबीसॉफ्ट कनेक्ट (पूर्व में यूप्ले), रोबॉक्स, बैटल.नेट, विभिन्न माइनक्राफ्ट क्लाइंट
• क्रिप्टो वॉलेट : ज़कैश, आर्मरी, बाइटकॉइन, जैक्सएक्स, एक्सोडस, एथेरियम, इलेक्ट्रम, एटॉमिक, गार्डा, कॉइनोमी

मानक क्रेडेंशियल चोरी से परे, आर्केन डेटा संग्रह को बढ़ाने के लिए परिष्कृत तकनीकों का उपयोग करता है। यह संग्रहीत पासवर्ड और कुकीज़ को सुरक्षित करने के लिए ब्राउज़र द्वारा उपयोग की जाने वाली एन्क्रिप्शन कुंजियों को निकालने के लिए डेटा प्रोटेक्शन एपीआई (DPAPI) का उपयोग करता है। इसके अतिरिक्त, यह इन एन्क्रिप्शन कुंजियों को क्रैक करने के लिए Xaitax उपयोगिता के एक छिपे हुए इंस्टेंस को निष्पादित करता है, जिससे संग्रहीत क्रेडेंशियल तक पूरी पहुँच सुनिश्चित होती है। क्रोमियम-आधारित ब्राउज़रों से प्रमाणीकरण कुकीज़ निकालने के लिए, यह पारंपरिक सुरक्षा बाधाओं को दरकिनार करते हुए डिबग पोर्ट के माध्यम से ब्राउज़र की एक प्रति लॉन्च करता है।

आर्काना लोडर का उदय

अपनी रणनीति के एक और विकास में, हमलावरों ने आर्काना लोडर को पेश किया है, जो गेम चीट्स को डाउनलोड करने के लिए सॉफ़्टवेयर के रूप में प्रच्छन्न एक ख़तरनाक उपकरण है। चीट्स के बजाय, यह उपकरण आर्केन को तैनात करता है, जिससे मैलवेयर की पहुंच और बढ़ जाती है। अभियान मुख्य रूप से रूस, बेलारूस और कज़ाकिस्तान के उपयोगकर्ताओं को लक्षित करता है।

तेजी से बढ़ता साइबर खतरा

आर्केन मैलवेयर अभियान साइबर अपराधियों की अनुकूलन क्षमता को उजागर करता है जो लगातार अपने हमले के तरीकों को परिष्कृत करते रहते हैं। आर्केन अपनी व्यापक डेटा संग्रह क्षमताओं और एन्क्रिप्टेड जानकारी निकालने की उन्नत तकनीकों के कारण सबसे अलग है। यह ऑपरेशन एक अनुस्मारक के रूप में कार्य करता है कि यहां तक कि हानिरहित गेम चीट डाउनलोड भी गंभीर सुरक्षा खतरों का प्रवेश द्वार हो सकता है।