Ponuda s popustom na više licenci
Baza prijetnji Malware Zlonamjerni softver Arcane Stealer

Zlonamjerni softver Arcane Stealer

Do Mezo. Malware, kradljivci. godine
Prevedi na:
Hrvatski

Cyberkriminalci iskorištavaju YouTube videozapise koji promoviraju varanje u igrama za distribuciju nedavno identificiranog zlonamjernog softvera pod nazivom Arcane. Ovaj kradljivi zlonamjerni softver prvenstveno cilja korisnike koji govore ruski i sposoban je prikupiti širok raspon osjetljivih podataka iz kompromitiranih sustava.

Kako se Arcane širi

Napad počinje poveznicama ugrađenim u YouTube videozapise koje korisnike koji ništa ne sumnjaju vode do arhiva zaštićenih lozinkom. Nakon izdvajanja, ove arhive sadrže start.bat batch datoteku, koja koristi PowerShell za preuzimanje i izvršavanje dodatnih datoteka. Tijekom ovog procesa, Windows SmartScreen zaštita je onemogućena kako bi se izbjegle sigurnosne mjere.

Zlonamjerni softver izvršava dvije ključne komponente: rudar kriptovalute i zlonamjerni softver koji krade. U početku je kradljivac identificiran kao VGS, varijanta Phemedrone Stealer-a, ali do studenog 2024. napadači su se prebacili na Arcane. Iako Arcane posuđuje elemente od drugih kradljivaca, istraživači ga nisu povezali ni s jednom specifičnom obitelji malwarea.

Tajanstvena krađa podataka

Arcane je dizajniran za izdvajanje širokog spektra osjetljivih informacija, uključujući vjerodajnice za prijavu, lozinke, podatke o kreditnoj kartici i kolačiće pohranjene u preglednicima baziranim na Chromiumu i Gecku. Također prikuplja podatke o sustavu. Zlonamjerni softver izvlači konfiguracijske datoteke, postavke i podatke o računu iz širokog spektra aplikacija, uključujući:

  • VPN klijenti : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN
  • Mrežni klijenti i pomoćni programi : ngrok, Playit, Cyberduck, FileZilla, DynDNS
  • Aplikacije za slanje poruka : ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber
  • Klijenti e-pošte : Microsoft Outlook
  • Klijenti i usluge za igranje : Riot Client, Epic, Steam, Ubisoft Connect (bivši Uplay), Roblox, Battle.net, razni Minecraft klijenti
  • Kripto novčanici : Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi

Osim standardne krađe vjerodajnica, Arcane koristi sofisticirane tehnike za poboljšanje prikupljanja podataka. Koristi API za zaštitu podataka (DPAPI) za izdvajanje ključeva za šifriranje koje koriste preglednici za osiguranje pohranjenih lozinki i kolačića. Osim toga, izvršava skrivenu instancu uslužnog programa Xaitax za probijanje ovih ključeva za šifriranje, osiguravajući potpuni pristup pohranjenim vjerodajnicama. Kako bi izdvojio kolačiće za provjeru autentičnosti iz preglednika koji se temelje na Chromiumu, pokreće kopiju preglednika kroz port za otklanjanje pogrešaka, zaobilazeći tradicionalne sigurnosne barijere.

Pojava ArcanaLoadera

U daljnjoj evoluciji svoje taktike, napadači su predstavili ArcanaLoader, prijeteći alat prerušen u softver za preuzimanje varalica za igre. Umjesto varalica, alat koristi Arcane, dodatno proširujući doseg zlonamjernog softvera. Kampanja je prvenstveno usmjerena na korisnike u Rusiji, Bjelorusiji i Kazahstanu.

Kibernetička prijetnja koja se brzo prilagođava

Kampanja zlonamjernog softvera Arcane naglašava prilagodljivost kibernetičkih kriminalaca koji neprestano usavršavaju svoje metode napada. Arcane se ističe svojim opsežnim mogućnostima prikupljanja podataka i naprednim tehnikama za izdvajanje šifriranih informacija. Ova operacija služi kao podsjetnik da čak i naizgled bezopasna preuzimanja igrica mogu biti pristup ozbiljnim sigurnosnim prijetnjama.

U trendu

Nagledanije

Učitavam...