Arcane Stealer Malware

사이버 범죄자들은 게임 치트를 홍보하는 YouTube 동영상을 활용하여 Arcane이라는 새로 발견된 맬웨어를 배포하고 있습니다. 이 스틸러 맬웨어는 주로 러시아어 사용자를 대상으로 하며 손상된 시스템에서 광범위한 민감한 데이터를 수집할 수 있습니다.

아케인이 퍼지는 방식

공격은 의심하지 않는 사용자를 암호로 보호된 보관소로 유도하는 YouTube 비디오에 포함된 링크로 시작됩니다. 추출되면 이러한 보관소에는 PowerShell을 사용하여 추가 파일을 다운로드하고 실행하는 start.bat 배치 파일이 포함됩니다. 이 프로세스 동안 Windows SmartScreen 보호는 보안 조치를 회피하기 위해 비활성화됩니다.

이 맬웨어는 두 가지 핵심 구성 요소를 실행합니다. 암호화폐 채굴자와 스틸러 맬웨어입니다. 처음에는 스틸러가 Phemedrone Stealer의 변형인 VGS로 식별되었지만, 2024년 11월까지 공격자는 Arcane을 사용하기 시작했습니다. Arcane은 다른 스틸러에서 요소를 차용했지만, 연구자들은 특정 맬웨어 패밀리와 연결하지 않았습니다.

데이터 아케인 스틸스

Arcane은 Chromium 및 Gecko 기반 브라우저에 저장된 로그인 자격 증명, 비밀번호, 신용카드 세부 정보 및 쿠키를 포함한 다양한 민감한 정보를 추출하도록 설계되었습니다. 또한 시스템 데이터를 수집합니다. 이 맬웨어는 다음을 포함한 광범위한 애플리케이션에서 구성 파일, 설정 및 계정 세부 정보를 추출합니다.

• VPN 클라이언트 : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN
• 네트워크 클라이언트 및 유틸리티 : ngrok, Playit, Cyberduck, FileZilla, DynDNS
• 메시징 앱 : ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber
• 이메일 클라이언트 : Microsoft Outlook
• 게임 클라이언트 및 서비스 : Riot Client, Epic, Steam, Ubisoft Connect(이전 Uplay), Roblox, Battle.net, 다양한 Minecraft 클라이언트
• 암호화폐 지갑 : Zcash, Armoury, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi

표준 자격 증명 도용을 넘어 Arcane은 정교한 기술을 사용하여 데이터 수집을 강화합니다. Data Protection API(DPAPI)를 사용하여 브라우저에서 저장된 비밀번호와 쿠키를 보호하는 데 사용하는 암호화 키를 추출합니다. 또한 Xaitax 유틸리티의 숨겨진 인스턴스를 실행하여 이러한 암호화 키를 해독하여 저장된 자격 증명에 대한 전체 액세스를 보장합니다. Chromium 기반 브라우저에서 인증 쿠키를 추출하기 위해 디버그 포트를 통해 브라우저 사본을 시작하여 기존 보안 장벽을 우회합니다.

ArcanaLoader의 등장

공격자들은 전술을 더욱 발전시켜, 게임 치트를 다운로드하는 소프트웨어로 위장한 위협적인 도구인 ArcanaLoader를 도입했습니다. 치트 대신 이 도구는 Arcane을 배치하여 맬웨어의 도달 범위를 더욱 확대합니다. 이 캠페인은 주로 러시아, 벨로루시, 카자흐스탄의 사용자를 대상으로 합니다.

빠르게 적응하는 사이버 위협

Arcane 맬웨어 캠페인은 공격 방법을 지속적으로 개선하는 사이버 범죄자의 적응력을 강조합니다. Arcane은 광범위한 데이터 수집 기능과 암호화된 정보를 추출하는 고급 기술로 두드러집니다. 이 작전은 겉보기에 무해한 게임 치트 다운로드조차도 심각한 보안 위협의 관문이 될 수 있다는 것을 상기시켜줍니다.