Arcane Stealer kenkėjiška programa
Kibernetiniai nusikaltėliai naudoja „YouTube“ vaizdo įrašus, kuriuose reklamuojami žaidimų apgaudinėjimai, kad platintų naujai identifikuotą kenkėjišką programą, vadinamą „Arcane“. Ši vagių kenkėjiška programa visų pirma skirta rusakalbiams vartotojams ir gali rinkti daugybę neskelbtinų duomenų iš pažeistų sistemų.
Turinys
Kaip paslaptingas plinta
Ataka prasideda „YouTube“ vaizdo įrašuose įterptomis nuorodomis, kurios nieko neįtariančius vartotojus nukreipia į slaptažodžiu apsaugotus archyvus. Išskleisti šiuose archyvuose yra paketinis failas start.bat, kuris naudoja PowerShell papildomiems failams atsisiųsti ir vykdyti. Šio proceso metu „Windows SmartScreen“ apsauga išjungiama, kad būtų išvengta saugos priemonių.
Kenkėjiška programa vykdo du pagrindinius komponentus: kriptovaliutų kasyklą ir kenkėjišką programinę įrangą. Iš pradžių vagis buvo identifikuotas kaip VGS, Phemedrone Stealer variantas, tačiau 2024 m. lapkričio mėn. užpuolikai pradėjo naudoti Arcane. Nors Arcane skolinasi elementus iš kitų vagių, tyrėjai jo nesusiejo su jokia konkrečia kenkėjiškų programų šeima.
Paslaptingi duomenys vagia
„Arcane“ sukurta taip, kad išgautų įvairią neskelbtiną informaciją, įskaitant prisijungimo duomenis, slaptažodžius, kredito kortelių duomenis ir slapukus, saugomus „Chromium“ ir „Gecko“ pagrindu veikiančiose naršyklėse. Ji taip pat renka sistemos duomenis. Kenkėjiška programa ištraukia konfigūracijos failus, nustatymus ir paskyros informaciją iš įvairių programų, įskaitant:
- VPN klientai : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN
- Tinklo klientai ir komunalinės paslaugos : ngrok, Playit, Cyberduck, FileZilla, DynDNS
- Susirašinėjimo programėlės : ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber
- El. pašto programos : Microsoft Outlook
- Žaidimų klientai ir paslaugos : Riot Client, Epic, Steam, Ubisoft Connect (anksčiau Uplay), Roblox, Battle.net, įvairūs Minecraft klientai
- Kripto piniginės : Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi
Be standartinių kredencialų vagysčių, Arcane taiko sudėtingus metodus, kad pagerintų duomenų rinkimą. Jis naudoja duomenų apsaugos API (DPAPI), kad išgautų šifravimo raktus, naudojamus naršyklėse saugomiems slaptažodžiams ir slapukams apsaugoti. Be to, jis vykdo paslėptą „Xaitax“ programos egzempliorių, kad nulaužtų šiuos šifravimo raktus ir užtikrintų visišką prieigą prie saugomų kredencialų. Kad iš „Chromium“ pagrįstų naršyklių išskirtų autentifikavimo slapukus, ji paleidžia naršyklės kopiją per derinimo prievadą, apeinant tradicines saugumo kliūtis.
ArcanaLoader atsiradimas
Tolesnėje taktikos raidoje užpuolikai pristatė ArcanaLoader – grėsmingą įrankį, užmaskuotą kaip programinė įranga, skirta žaidimų cheats atsisiųsti. Vietoj apgaulių įrankis diegia Arcane, dar labiau išplėsdamas kenkėjiškų programų pasiekiamumą. Kampanija pirmiausia skirta vartotojams Rusijoje, Baltarusijoje ir Kazachstane.
Greitai prisitaikanti kibernetinė grėsmė
Arcane kenkėjiškų programų kampanija pabrėžia kibernetinių nusikaltėlių, kurie nuolat tobulina savo atakų metodus, prisitaikymą. Arcane išsiskiria plačiomis duomenų rinkimo galimybėmis ir pažangiomis šifruotos informacijos išgavimo technikomis. Ši operacija primena, kad net iš pažiūros nekenksmingi žaidimų apgaulės atsisiuntimai gali būti vartai į rimtas saugumo grėsmes.
