Arcane Stealer Malware
A kiberbűnözők a játékcsalást népszerűsítő YouTube-videókat egy újonnan azonosított, Arcane nevű rosszindulatú program terjesztésére használják fel. Ez a lopó rosszindulatú program elsősorban az oroszul beszélő felhasználókat célozza meg, és képes érzékeny adatok széles skáláját gyűjteni a feltört rendszerekről.
Tartalomjegyzék
Hogyan terjed az Arcane
A támadás a YouTube-videókba ágyazott linkekkel kezdődik, amelyek a gyanútlan felhasználókat jelszóval védett archívumokhoz vezetik. A kibontás után ezek az archívumok tartalmaznak egy start.bat kötegfájlt, amely a PowerShellt használja további fájlok letöltésére és végrehajtására. A folyamat során a Windows SmartScreen védelme le van tiltva a biztonsági intézkedések elkerülése érdekében.
A rosszindulatú program két kulcsfontosságú összetevőt hajt végre: egy kriptovaluta bányászt és egy lopó kártevőt. Kezdetben a tolvajt VGS-ként, a Phemedrone Stealer egy változataként azonosították, de 2024 novemberére a támadók áttértek az Arcane használatára. Míg az Arcane más lopóktól kölcsönöz elemeket, a kutatók nem hozták összefüggésbe egyetlen rosszindulatú programcsaláddal sem.
The Data Arcane Steals
Az Arcane számos érzékeny információ kinyerésére szolgál, beleértve a bejelentkezési adatokat, jelszavakat, hitelkártyaadatokat és a Chromium- és Gecko-alapú böngészőkben tárolt cookie-kat. Rendszeradatokat is gyűjt. A rosszindulatú program számos alkalmazásból bontja ki a konfigurációs fájlokat, beállításokat és fiókadatokat, többek között:
- VPN kliensek : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN
- Hálózati kliensek és segédprogramok : ngrok, Playit, Cyberduck, FileZilla, DynDNS
- Üzenetküldő alkalmazások : ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber
- E-mail kliensek : Microsoft Outlook
- Játékkliensek és -szolgáltatások : Riot Client, Epic, Steam, Ubisoft Connect (korábban Uplay), Roblox, Battle.net, különböző Minecraft kliensek
- Kriptopénztárcák : Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi
A szokásos hitelesítő adatlopáson túl az Arcane kifinomult technikákat alkalmaz az adatgyűjtés javítására. Az adatvédelmi API-t (DPAPI) használja a böngészők által a tárolt jelszavak és cookie-k védelmére használt titkosítási kulcsok kinyerésére. Ezenkívül végrehajtja a Xaitax segédprogram rejtett példányát, hogy feltörje ezeket a titkosítási kulcsokat, biztosítva a tárolt hitelesítő adatokhoz való teljes hozzáférést. A hitelesítési cookie-k Chromium-alapú böngészőkből való kinyeréséhez egy hibakereső porton keresztül elindítja a böngésző másolatát, megkerülve a hagyományos biztonsági korlátokat.
Az ArcanaLoader megjelenése
A támadók taktikájuk további evolúciója során bemutatták az ArcanaLoader-t, egy fenyegető eszközt, amelyet játékcsaták letöltésére szolgáló szoftvernek álcáztak. A csalások helyett az eszköz az Arcane-t telepíti, tovább bővítve ezzel a kártevő hatókörét. A kampány elsősorban az oroszországi, fehérorosz és kazahsztáni felhasználókat célozza meg.
Gyorsan alkalmazkodó kiberfenyegetés
Az Arcane malware kampány a támadási módszereiket folyamatosan finomító kiberbűnözők alkalmazkodóképességére hívja fel a figyelmet. Az Arcane kiemelkedik kiterjedt adatgyűjtési képességeivel és fejlett technikáival a titkosított információk kinyerésére. Ez a művelet emlékeztet arra, hogy még a látszólag ártalmatlan játékletöltések is átjárót jelenthetnek a súlyos biztonsági fenyegetésekhez.
