មេរោគ Arcane Stealer

ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតកំពុងប្រើប្រាស់វីដេអូ YouTube ដែលផ្សព្វផ្សាយការបន្លំហ្គេម ដើម្បីចែកចាយមេរោគដែលត្រូវបានកំណត់អត្តសញ្ញាណថ្មីហៅថា Arcane ។ មេរោគលួចចម្លងនេះកំណត់គោលដៅជាចម្បងលើអ្នកប្រើប្រាស់ដែលនិយាយភាសារុស្សី ហើយមានសមត្ថភាពប្រមូលទិន្នន័យរសើបយ៉ាងទូលំទូលាយពីប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។

របៀបដែល Arcane រីករាលដាល

ការវាយប្រហារចាប់ផ្តើមជាមួយនឹងតំណភ្ជាប់ដែលបានបង្កប់នៅក្នុងវីដេអូ YouTube ដែលនាំអ្នកប្រើប្រាស់ដែលមិនមានការសង្ស័យទៅកាន់បណ្ណសារដែលការពារដោយពាក្យសម្ងាត់។ នៅពេលស្រង់ចេញ បណ្ណសារទាំងនេះមានឯកសារបាច់ start.bat ដែលប្រើ PowerShell ដើម្បីទាញយក និងប្រតិបត្តិឯកសារបន្ថែម។ ក្នុងអំឡុងពេលដំណើរការនេះ ការការពារ Windows SmartScreen ត្រូវបានបិទដើម្បីគេចពីវិធានការសុវត្ថិភាព។

មេរោគនេះដំណើរការផ្នែកសំខាន់ៗចំនួនពីរ៖ មេរោគ cryptocurrency miner និង malware លួច។ ដំបូងឡើយ អ្នកលួចត្រូវបានគេកំណត់ថាជា VGS ដែលជាវ៉ារ្យ៉ង់របស់ Phemedrone Stealer ប៉ុន្តែនៅខែវិច្ឆិកា ឆ្នាំ 2024 អ្នកវាយប្រហារបានប្តូរទៅប្រើ Arcane ។ ខណៈពេលដែល Arcane ខ្ចីធាតុពីអ្នកលួចផ្សេងទៀត អ្នកស្រាវជ្រាវមិនបានភ្ជាប់វាទៅនឹងគ្រួសារមេរោគជាក់លាក់ណាមួយឡើយ។

ទិន្នន័យ Arcane លួច

Arcane ត្រូវបានរចនាឡើងដើម្បីទាញយកព័ត៌មានរសើបជាច្រើន រួមទាំងព័ត៌មានសម្ងាត់នៃការចូល ពាក្យសម្ងាត់ ព័ត៌មានលម្អិតអំពីប័ណ្ណឥណទាន និងខូគីដែលផ្ទុកនៅក្នុងកម្មវិធីរុករកតាមអ៊ីនធឺណិត Chromium- និង Gecko ។ វាក៏ប្រមូលទិន្នន័យប្រព័ន្ធផងដែរ។ មេរោគទាញយកឯកសារកំណត់រចនាសម្ព័ន្ធ ការកំណត់ និងព័ត៌មានលម្អិតគណនីពីកម្មវិធីជាច្រើន រួមទាំង៖

• ម៉ាស៊ីនភ្ញៀវ VPN ៖ OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN
• បណ្តាញអតិថិជន និងឧបករណ៍ប្រើប្រាស់ ៖ ngrok, Playit, Cyberduck, FileZilla, DynDNS
• កម្មវិធីផ្ញើសារ ៖ ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber
• កម្មវិធីអ៊ីមែល ៖ Microsoft Outlook
• អតិថិជន និងសេវាកម្មលេងហ្គេម ៖ Riot Client, Epic, Steam, Ubisoft Connect (អតីត Uplay), Roblox, Battle.net, អតិថិជន Minecraft ផ្សេងៗ
• កាបូបលុយគ្រីបតូ ៖ Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi

លើសពីការលួចអត្តសញ្ញាណស្តង់ដារ Arcane ប្រើបច្ចេកទេសទំនើបដើម្បីបង្កើនការប្រមូលទិន្នន័យ។ វាប្រើប្រាស់ API ការពារទិន្នន័យ (DPAPI) ដើម្បីទាញយកសោអ៊ិនគ្រីបដែលប្រើដោយកម្មវិធីរុករកតាមអ៊ីនធឺណិត ដើម្បីការពារពាក្យសម្ងាត់ និងខូគីដែលបានរក្សាទុក។ លើសពីនេះ វាដំណើរការករណីលាក់កំបាំងនៃឧបករណ៍ប្រើប្រាស់ Xaitax ដើម្បីបំបែកសោអ៊ិនគ្រីបទាំងនេះ ដោយធានាបាននូវការចូលប្រើប្រាស់ពេញលេញទៅកាន់ព័ត៌មានសម្ងាត់ដែលបានរក្សាទុក។ ដើម្បីទាញយកខូគីផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវពីកម្មវិធីរុករកដែលមានមូលដ្ឋានលើ Chromium វាបើកដំណើរការច្បាប់ចម្លងនៃកម្មវិធីរុករកតាមអ៊ីនធឺណិតតាមរយៈច្រកបំបាត់កំហុស ដោយឆ្លងកាត់របាំងសុវត្ថិភាពប្រពៃណី។

ការកើតឡើងនៃ ArcanaLoader

នៅក្នុងការវិវត្តន៍បន្ថែមទៀតនៃយុទ្ធសាស្ត្ររបស់ពួកគេ អ្នកវាយប្រហារបានណែនាំ ArcanaLoader ដែលជាឧបករណ៍គំរាមកំហែងដែលក្លែងធ្វើជាកម្មវិធីសម្រាប់ទាញយកការបន្លំហ្គេម។ ជំនួសឱ្យការក្លែងបន្លំ ឧបករណ៍នេះដាក់ពង្រាយ Arcane ដែលពង្រីកបន្ថែមទៀតនូវមេរោគ។ យុទ្ធនាការនេះផ្តោតលើអ្នកប្រើប្រាស់ជាចម្បងនៅក្នុងប្រទេសរុស្ស៊ី បេឡារុស្ស និងកាហ្សាក់ស្ថាន។

ការ​សម្រប​ខ្លួន​យ៉ាង​ឆាប់​រហ័ស​ការ​គំរាម​កំហែង​តាម​អ៊ីនធឺណិត

យុទ្ធនាការមេរោគ Arcane បង្ហាញពីការសម្របខ្លួនរបស់ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត ដែលបន្តកែលម្អវិធីសាស្ត្រវាយប្រហាររបស់ពួកគេ។ Arcane លេចធ្លោដោយសារតែសមត្ថភាពប្រមូលទិន្នន័យយ៉ាងទូលំទូលាយ និងបច្ចេកទេសកម្រិតខ្ពស់សម្រាប់ការទាញយកព័ត៌មានដែលបានអ៊ិនគ្រីប។ ប្រតិបត្តិការនេះបម្រើជាការរំលឹកថា សូម្បីតែការទាញយកការបន្លំហ្គេមដែលហាក់ដូចជាគ្មានគ្រោះថ្នាក់ក៏អាចជាច្រកចូលទៅកាន់ការគំរាមកំហែងផ្នែកសុវត្ថិភាពធ្ងន់ធ្ងរផងដែរ។