Perisian Hasad Arcane Stealer
Penjenayah siber memanfaatkan video YouTube yang mempromosikan penipuan permainan untuk mengedarkan perisian hasad yang baru dikenal pasti dipanggil Arcane. Perisian hasad pencuri ini terutamanya menyasarkan pengguna berbahasa Rusia dan mampu mengumpul pelbagai data sensitif daripada sistem yang terjejas.
Isi kandungan
Bagaimana Arcane Merebak
Serangan bermula dengan pautan yang dibenamkan dalam video YouTube yang membawa pengguna yang tidak curiga ke arkib yang dilindungi kata laluan. Setelah diekstrak, arkib ini mengandungi fail kumpulan start.bat, yang menggunakan PowerShell untuk memuat turun dan melaksanakan fail tambahan. Semasa proses ini, perlindungan Windows SmartScreen dilumpuhkan untuk mengelakkan langkah keselamatan.
Malware melaksanakan dua komponen utama: pelombong mata wang kripto dan perisian hasad pencuri. Pada mulanya, pencuri itu dikenal pasti sebagai VGS, varian Phemedrone Stealer, tetapi menjelang November 2024, penyerang telah beralih menggunakan Arcane. Walaupun Arcane meminjam unsur daripada pencuri lain, penyelidik tidak mengaitkannya dengan mana-mana keluarga perisian hasad tertentu.
Data Arcane Mencuri
Arcane direka bentuk untuk mengekstrak pelbagai jenis maklumat sensitif, termasuk bukti kelayakan log masuk, kata laluan, butiran kad kredit dan kuki yang disimpan dalam kedua-dua penyemak imbas berasaskan Chromium dan Gecko. Ia juga mengumpul data sistem. Perisian hasad mengekstrak fail konfigurasi, tetapan dan butiran akaun daripada pelbagai aplikasi, termasuk:
- Pelanggan VPN : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN
- Pelanggan rangkaian dan utiliti : ngrok, Playit, Cyberduck, FileZilla, DynDNS
- Apl pemesejan : ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber
- Pelanggan e-mel : Microsoft Outlook
- Pelanggan dan perkhidmatan permainan : Riot Client, Epic, Steam, Ubisoft Connect (dahulunya Uplay), Roblox, Battle.net, pelbagai pelanggan Minecraft
- Dompet Crypto : Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi
Di luar kecurian kelayakan standard, Arcane menggunakan teknik canggih untuk meningkatkan pengumpulan data. Ia menggunakan API Perlindungan Data (DPAPI) untuk mengekstrak kunci penyulitan yang digunakan oleh penyemak imbas untuk melindungi kata laluan dan kuki yang disimpan. Selain itu, ia melaksanakan contoh tersembunyi utiliti Xaitax untuk memecahkan kunci penyulitan ini, memastikan akses penuh kepada bukti kelayakan yang disimpan. Untuk mengekstrak kuki pengesahan daripada penyemak imbas berasaskan Chromium, ia melancarkan salinan penyemak imbas melalui port nyahpepijat, memintas halangan keselamatan tradisional.
Kemunculan ArcanaLoader
Dalam evolusi selanjutnya taktik mereka, penyerang telah memperkenalkan ArcanaLoader, alat mengancam yang menyamar sebagai perisian untuk memuat turun menipu permainan. Daripada menipu, alat itu menggunakan Arcane, meluaskan lagi jangkauan perisian hasad. Kempen ini menyasarkan pengguna di Rusia, Belarus dan Kazakhstan.
Ancaman Siber Penyesuaian Pantas
Kempen perisian hasad Arcane menyerlahkan kebolehsesuaian penjenayah siber yang terus memperhalusi kaedah serangan mereka. Arcane menonjol kerana keupayaan pengumpulan datanya yang luas dan teknik lanjutan untuk mengekstrak maklumat yang disulitkan. Operasi ini berfungsi sebagai peringatan bahawa walaupun muat turun menipu permainan yang kelihatan tidak berbahaya boleh menjadi pintu masuk kepada ancaman keselamatan yang teruk.
