Arcane Stealer Malware

साइबर अपराधीहरूले गेम चिटहरूलाई प्रवर्द्धन गर्ने युट्युब भिडियोहरूको प्रयोग गरेर आर्केन भनिने नयाँ पहिचान गरिएको मालवेयर वितरण गरिरहेका छन्। यो चोरी गर्ने मालवेयरले मुख्यतया रूसी भाषी प्रयोगकर्ताहरूलाई लक्षित गर्दछ र सम्झौता गरिएका प्रणालीहरूबाट संवेदनशील डेटाको विस्तृत दायरा सङ्कलन गर्न सक्षम छ।

कसरी आर्केन फैलिन्छ

आक्रमण युट्युब भिडियोहरूमा एम्बेड गरिएका लिङ्कहरूबाट सुरु हुन्छ जसले शंका नगर्ने प्रयोगकर्ताहरूलाई पासवर्ड-सुरक्षित अभिलेखहरूमा लैजान्छ। एकपटक निकालेपछि, यी अभिलेखहरूमा start.bat ब्याच फाइल हुन्छ, जसले थप फाइलहरू डाउनलोड र कार्यान्वयन गर्न PowerShell प्रयोग गर्दछ। यस प्रक्रियाको क्रममा, सुरक्षा उपायहरूबाट बच्न Windows SmartScreen सुरक्षा असक्षम पारिएको हुन्छ।

मालवेयरले दुई प्रमुख घटकहरू कार्यान्वयन गर्दछ: एक क्रिप्टोकरेन्सी माइनर र एक चोरी गर्ने मालवेयर। सुरुमा, चोरी गर्नेलाई VGS को रूपमा पहिचान गरिएको थियो, जुन फेमेड्रोन स्टीलरको एक प्रकार हो, तर नोभेम्बर २०२४ सम्ममा, आक्रमणकारीहरूले आर्केन प्रयोग गर्न थालेका थिए। आर्केनले अन्य चोरहरूबाट तत्वहरू उधारो लिँदा, अनुसन्धानकर्ताहरूले यसलाई कुनै विशेष मालवेयर परिवारसँग जोडेका छैनन्।

डेटा रहस्यमय चोरी

आर्केनलाई क्रोमियम र गेको-आधारित ब्राउजरहरूमा भण्डारण गरिएका लगइन प्रमाणहरू, पासवर्डहरू, क्रेडिट कार्ड विवरणहरू र कुकीहरू सहित विभिन्न प्रकारका संवेदनशील जानकारीहरू निकाल्न डिजाइन गरिएको हो। यसले प्रणाली डेटा पनि सङ्कलन गर्दछ। मालवेयरले विभिन्न प्रकारका अनुप्रयोगहरूबाट कन्फिगरेसन फाइलहरू, सेटिङहरू, र खाता विवरणहरू निकाल्छ, जसमा समावेश छन्:

• VPN क्लाइन्टहरू : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN
• नेटवर्क क्लाइन्ट र उपयोगिताहरू : ngrok, Playit, Cyberduck, FileZilla, DynDNS
• मेसेजिङ एपहरू : ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber
• इमेल क्लाइन्टहरू : माइक्रोसफ्ट आउटलुक
• गेमिङ क्लाइन्ट र सेवाहरू : रायट क्लाइन्ट, एपिक, स्टीम, युबिसफ्ट कनेक्ट (पहिले युप्ले), रोब्लोक्स, ब्याटल डटनेट, विभिन्न माइनक्राफ्ट क्लाइन्टहरू
• क्रिप्टो वालेटहरू : Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi

मानक प्रमाण चोरीभन्दा बाहिर, आर्केनले डेटा सङ्कलन बढाउन परिष्कृत प्रविधिहरू प्रयोग गर्दछ। यसले भण्डारण गरिएका पासवर्डहरू र कुकीहरू सुरक्षित गर्न ब्राउजरहरूले प्रयोग गर्ने इन्क्रिप्शन कुञ्जीहरू निकाल्न डेटा सुरक्षा API (DPAPI) प्रयोग गर्दछ। थप रूपमा, यसले यी इन्क्रिप्शन कुञ्जीहरू क्र्याक गर्न Xaitax उपयोगिताको लुकेको उदाहरण कार्यान्वयन गर्दछ, भण्डारण गरिएका प्रमाणहरूमा पूर्ण पहुँच सुनिश्चित गर्दै। क्रोमियम-आधारित ब्राउजरहरूबाट प्रमाणीकरण कुकीहरू निकाल्न, यसले परम्परागत सुरक्षा अवरोधहरू बाइपास गर्दै डिबग पोर्ट मार्फत ब्राउजरको प्रतिलिपि सुरु गर्दछ।

अर्काना लोडरको उदय

आफ्नो रणनीतिको थप विकासमा, आक्रमणकारीहरूले ArcanaLoader प्रस्तुत गरेका छन्, जुन खेल चिटहरू डाउनलोड गर्ने सफ्टवेयरको रूपमा भेषमा रहेको खतरनाक उपकरण हो। चिटहरूको सट्टा, यो उपकरणले Arcane प्रयोग गर्दछ, जसले मालवेयरको पहुँचलाई अझ विस्तार गर्दछ। यो अभियानले मुख्यतया रूस, बेलारुस र काजाकिस्तानका प्रयोगकर्ताहरूलाई लक्षित गर्दछ।

द्रुत गतिमा अनुकूलित साइबर खतरा

आर्केन मालवेयर अभियानले साइबर अपराधीहरूको अनुकूलन क्षमतालाई हाइलाइट गर्दछ जसले आफ्नो आक्रमण विधिहरूलाई निरन्तर परिष्कृत गर्दछ। आर्केन यसको व्यापक डेटा सङ्कलन क्षमताहरू र इन्क्रिप्टेड जानकारी निकाल्ने उन्नत प्रविधिहरूको कारणले फरक देखिन्छ। यो अपरेशनले हामीलाई सम्झाउँछ कि हानिरहित देखिने गेम चीट डाउनलोडहरू पनि गम्भीर सुरक्षा खतराहरूको प्रवेशद्वार हुन सक्छन्।