Arcane Stealer ļaunprātīga programmatūra
Kibernoziedznieki izmanto YouTube videoklipus, kas reklamē spēļu krāpšanos, lai izplatītu tikko identificētu ļaunprogrammatūru Arcane. Šī zagļu ļaunprogrammatūra galvenokārt ir vērsta uz krievvalodīgajiem lietotājiem, un tā spēj apkopot plašu sensitīvu datu klāstu no apdraudētām sistēmām.
Satura rādītājs
Kā Arcane izplatās
Uzbrukums sākas ar saitēm, kas iegultas YouTube videoklipos, kas nenojaušos lietotājus ved uz arhīviem, kas aizsargāti ar paroli. Pēc izvilkšanas šajos arhīvos ir iekļauts pakešfails start.bat, kas izmanto PowerShell, lai lejupielādētu un izpildītu papildu failus. Šī procesa laikā Windows SmartScreen aizsardzība ir atspējota, lai izvairītos no drošības pasākumiem.
Ļaunprātīga programmatūra izpilda divus galvenos komponentus: kriptovalūtas kalnraču un zagļu ļaunprātīgu programmatūru. Sākotnēji zaglis tika identificēts kā VGS, Phemedrone Stealer variants, taču līdz 2024. gada novembrim uzbrucēji bija pārgājuši uz Arcane izmantošanu. Kamēr Arcane aizņemas elementus no citiem zagļiem, pētnieki to nav saistījuši ar kādu konkrētu ļaunprātīgas programmatūras saimi.
Datu noslēpums nozog
Arcane ir izstrādāts, lai iegūtu dažādas sensitīvas informācijas, tostarp pieteikšanās akreditācijas datus, paroles, kredītkaršu informāciju un sīkfailus, kas tiek glabāti pārlūkprogrammās, kuru pamatā ir Chromium un Gecko. Tas arī apkopo sistēmas datus. Ļaunprātīga programmatūra izvelk konfigurācijas failus, iestatījumus un konta informāciju no plaša lietojumprogrammu klāsta, tostarp:
- VPN klienti : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN
- Tīkla klienti un utilītas : ngrok, Playit, Cyberduck, FileZilla, DynDNS
- Ziņapmaiņas lietotnes : ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber
- E-pasta klienti : Microsoft Outlook
- Spēļu klienti un pakalpojumi : Riot Client, Epic, Steam, Ubisoft Connect (iepriekš Uplay), Roblox, Battle.net, dažādi Minecraft klienti
- Kripto maki : Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi
Papildus standarta akreditācijas datu zādzībām, Arcane izmanto sarežģītas metodes, lai uzlabotu datu vākšanu. Tas izmanto datu aizsardzības API (DPAPI), lai iegūtu šifrēšanas atslēgas, ko pārlūkprogrammas izmanto, lai aizsargātu saglabātās paroles un sīkfailus. Turklāt tas izpilda slēptu Xaitax utilīta gadījumu, lai uzlauztu šīs šifrēšanas atslēgas, nodrošinot pilnīgu piekļuvi saglabātajiem akreditācijas datiem. Lai iegūtu autentifikācijas sīkfailus no pārlūkprogrammām, kuru pamatā ir Chromium, tā palaiž pārlūkprogrammas kopiju, izmantojot atkļūdošanas portu, apejot tradicionālās drošības barjeras.
ArcanaLoader parādīšanās
Turpinot savas taktikas attīstību, uzbrucēji ir ieviesuši ArcanaLoader — draudošu rīku, kas slēpts kā programmatūra spēļu krāpšanos lejupielādei. Mīklu vietā rīks izvieto Arcane, vēl vairāk paplašinot ļaunprātīgas programmatūras sasniedzamību. Kampaņas mērķauditorija galvenokārt ir lietotāji Krievijā, Baltkrievijā un Kazahstānā.
Ātri pielāgojams kiberdrauds
Arcane ļaunprātīgas programmatūras kampaņa izceļ to kibernoziedznieku pielāgošanās spēju, kuri nepārtraukti uzlabo savas uzbrukuma metodes. Arcane izceļas ar plašajām datu vākšanas iespējām un progresīvām metodēm šifrētas informācijas iegūšanai. Šī darbība kalpo kā atgādinājums, ka pat šķietami nekaitīgas spēļu krāpšanās lejupielādes var būt vārti uz nopietniem drošības apdraudējumiem.
