Arcane Stealer Malware

ਸਾਈਬਰ ਅਪਰਾਧੀ ਯੂਟਿਊਬ ਵੀਡੀਓਜ਼ ਦੀ ਵਰਤੋਂ ਕਰ ਰਹੇ ਹਨ ਜੋ ਗੇਮ ਚੀਟ ਨੂੰ ਉਤਸ਼ਾਹਿਤ ਕਰਦੇ ਹਨ ਤਾਂ ਜੋ ਆਰਕੇਨ ਨਾਮਕ ਇੱਕ ਨਵੇਂ ਪਛਾਣੇ ਗਏ ਮਾਲਵੇਅਰ ਨੂੰ ਵੰਡਿਆ ਜਾ ਸਕੇ। ਇਹ ਚੋਰੀ ਕਰਨ ਵਾਲਾ ਮਾਲਵੇਅਰ ਮੁੱਖ ਤੌਰ 'ਤੇ ਰੂਸੀ ਬੋਲਣ ਵਾਲੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ ਅਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਇਕੱਠੀ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ।

ਆਰਕੇਨ ਕਿਵੇਂ ਫੈਲਦਾ ਹੈ

ਇਹ ਹਮਲਾ ਯੂਟਿਊਬ ਵੀਡੀਓਜ਼ ਵਿੱਚ ਏਮਬੇਡ ਕੀਤੇ ਲਿੰਕਾਂ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ ਜੋ ਬੇਖਬਰ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਪਾਸਵਰਡ-ਸੁਰੱਖਿਅਤ ਪੁਰਾਲੇਖਾਂ ਵੱਲ ਲੈ ਜਾਂਦੇ ਹਨ। ਇੱਕ ਵਾਰ ਐਕਸਟਰੈਕਟ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਇਹਨਾਂ ਪੁਰਾਲੇਖਾਂ ਵਿੱਚ ਇੱਕ start.bat ਬੈਚ ਫਾਈਲ ਹੁੰਦੀ ਹੈ, ਜੋ ਵਾਧੂ ਫਾਈਲਾਂ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਲਈ PowerShell ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ। ਇਸ ਪ੍ਰਕਿਰਿਆ ਦੌਰਾਨ, ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਤੋਂ ਬਚਣ ਲਈ Windows SmartScreen ਸੁਰੱਖਿਆ ਨੂੰ ਅਯੋਗ ਕਰ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ।

ਇਹ ਮਾਲਵੇਅਰ ਦੋ ਮੁੱਖ ਹਿੱਸਿਆਂ ਨੂੰ ਚਲਾਉਂਦਾ ਹੈ: ਇੱਕ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਮਾਈਨਰ ਅਤੇ ਇੱਕ ਚੋਰੀ ਕਰਨ ਵਾਲਾ ਮਾਲਵੇਅਰ। ਸ਼ੁਰੂ ਵਿੱਚ, ਚੋਰੀ ਕਰਨ ਵਾਲੇ ਦੀ ਪਛਾਣ VGS ਵਜੋਂ ਕੀਤੀ ਗਈ ਸੀ, ਜੋ ਕਿ ਫੇਮੇਡਰੋਨ ਸਟੀਲਰ ਦਾ ਇੱਕ ਰੂਪ ਸੀ, ਪਰ ਨਵੰਬਰ 2024 ਤੱਕ, ਹਮਲਾਵਰਾਂ ਨੇ ਆਰਕੇਨ ਦੀ ਵਰਤੋਂ ਕਰਨੀ ਸ਼ੁਰੂ ਕਰ ਦਿੱਤੀ ਸੀ। ਜਦੋਂ ਕਿ ਆਰਕੇਨ ਦੂਜੇ ਚੋਰੀ ਕਰਨ ਵਾਲਿਆਂ ਤੋਂ ਤੱਤ ਉਧਾਰ ਲੈਂਦਾ ਹੈ, ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇਸਨੂੰ ਕਿਸੇ ਖਾਸ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰ ਨਾਲ ਨਹੀਂ ਜੋੜਿਆ ਹੈ।

ਡਾਟਾ ਆਰਕੇਨ ਚੋਰੀ ਕਰਦਾ ਹੈ

ਆਰਕੇਨ ਨੂੰ ਕਈ ਤਰ੍ਹਾਂ ਦੀਆਂ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀਆਂ ਕੱਢਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਜਿਸ ਵਿੱਚ ਲੌਗਇਨ ਪ੍ਰਮਾਣ ਪੱਤਰ, ਪਾਸਵਰਡ, ਕ੍ਰੈਡਿਟ ਕਾਰਡ ਵੇਰਵੇ ਅਤੇ ਕ੍ਰੋਮੀਅਮ- ਅਤੇ ਗੀਕੋ-ਅਧਾਰਿਤ ਬ੍ਰਾਊਜ਼ਰਾਂ ਦੋਵਾਂ ਵਿੱਚ ਸਟੋਰ ਕੀਤੀਆਂ ਕੂਕੀਜ਼ ਸ਼ਾਮਲ ਹਨ। ਇਹ ਸਿਸਟਮ ਡੇਟਾ ਵੀ ਇਕੱਠਾ ਕਰਦਾ ਹੈ। ਮਾਲਵੇਅਰ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਤੋਂ ਕੌਂਫਿਗਰੇਸ਼ਨ ਫਾਈਲਾਂ, ਸੈਟਿੰਗਾਂ ਅਤੇ ਖਾਤੇ ਦੇ ਵੇਰਵੇ ਕੱਢਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• VPN ਕਲਾਇੰਟ : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN
• ਨੈੱਟਵਰਕ ਕਲਾਇੰਟ ਅਤੇ ਉਪਯੋਗਤਾਵਾਂ : ngrok, Playit, Cyberduck, FileZilla, DynDNS
• ਮੈਸੇਜਿੰਗ ਐਪਸ : ਆਈਸੀਕਿਊ, ਟੌਕਸ, ਸਕਾਈਪ, ਪਿਡਗਿਨ, ਸਿਗਨਲ, ਐਲੀਮੈਂਟ, ਡਿਸਕਾਰਡ, ਟੈਲੀਗ੍ਰਾਮ, ਜੈਬਰ, ਵਾਈਬਰ
• ਈਮੇਲ ਕਲਾਇੰਟ : ਮਾਈਕ੍ਰੋਸਾਫਟ ਆਉਟਲੁੱਕ
• ਗੇਮਿੰਗ ਕਲਾਇੰਟ ਅਤੇ ਸੇਵਾਵਾਂ : ਰਾਇਟ ਕਲਾਇੰਟ, ਐਪਿਕ, ਸਟੀਮ, ਯੂਬੀਸੌਫਟ ਕਨੈਕਟ (ਪਹਿਲਾਂ ਯੂਪਲੇ), ਰੋਬਲੋਕਸ, ਬੈਟਲ ਡਾਟ ਨੈੱਟ, ਵੱਖ-ਵੱਖ ਮਾਇਨਕਰਾਫਟ ਕਲਾਇੰਟ
• ਕ੍ਰਿਪਟੋ ਵਾਲਿਟ : Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi

ਮਿਆਰੀ ਪ੍ਰਮਾਣ ਪੱਤਰ ਚੋਰੀ ਤੋਂ ਪਰੇ, Arcane ਡੇਟਾ ਸੰਗ੍ਰਹਿ ਨੂੰ ਵਧਾਉਣ ਲਈ ਅਤਿ-ਆਧੁਨਿਕ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਇਹ ਬ੍ਰਾਊਜ਼ਰਾਂ ਦੁਆਰਾ ਸਟੋਰ ਕੀਤੇ ਪਾਸਵਰਡਾਂ ਅਤੇ ਕੂਕੀਜ਼ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਲਈ ਵਰਤੀਆਂ ਜਾਂਦੀਆਂ ਐਨਕ੍ਰਿਪਸ਼ਨ ਕੁੰਜੀਆਂ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਨ ਲਈ ਡੇਟਾ ਪ੍ਰੋਟੈਕਸ਼ਨ API (DPAPI) ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਇਹਨਾਂ ਐਨਕ੍ਰਿਪਸ਼ਨ ਕੁੰਜੀਆਂ ਨੂੰ ਕ੍ਰੈਕ ਕਰਨ ਲਈ Xaitax ਉਪਯੋਗਤਾ ਦੇ ਇੱਕ ਲੁਕਵੇਂ ਉਦਾਹਰਣ ਨੂੰ ਚਲਾਉਂਦਾ ਹੈ, ਸਟੋਰ ਕੀਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਤੱਕ ਪੂਰੀ ਪਹੁੰਚ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ। Chromium-ਅਧਾਰਿਤ ਬ੍ਰਾਊਜ਼ਰਾਂ ਤੋਂ ਪ੍ਰਮਾਣੀਕਰਨ ਕੂਕੀਜ਼ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਨ ਲਈ, ਇਹ ਰਵਾਇਤੀ ਸੁਰੱਖਿਆ ਰੁਕਾਵਟਾਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਦੇ ਹੋਏ, ਇੱਕ ਡੀਬੱਗ ਪੋਰਟ ਰਾਹੀਂ ਬ੍ਰਾਊਜ਼ਰ ਦੀ ਇੱਕ ਕਾਪੀ ਲਾਂਚ ਕਰਦਾ ਹੈ।

ਅਰਕਾਨਾਲੋਡਰ ਦਾ ਉਭਾਰ

ਆਪਣੀਆਂ ਚਾਲਾਂ ਦੇ ਹੋਰ ਵਿਕਾਸ ਵਿੱਚ, ਹਮਲਾਵਰਾਂ ਨੇ ArcanaLoader ਪੇਸ਼ ਕੀਤਾ ਹੈ, ਜੋ ਕਿ ਗੇਮ ਚੀਟ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਸਾਫਟਵੇਅਰ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਵਾਲਾ ਇੱਕ ਖਤਰਨਾਕ ਟੂਲ ਹੈ। ਚੀਟ ਦੀ ਬਜਾਏ, ਇਹ ਟੂਲ Arcane ਨੂੰ ਤੈਨਾਤ ਕਰਦਾ ਹੈ, ਮਾਲਵੇਅਰ ਦੀ ਪਹੁੰਚ ਨੂੰ ਹੋਰ ਵਧਾਉਂਦਾ ਹੈ। ਇਹ ਮੁਹਿੰਮ ਮੁੱਖ ਤੌਰ 'ਤੇ ਰੂਸ, ਬੇਲਾਰੂਸ ਅਤੇ ਕਜ਼ਾਕਿਸਤਾਨ ਦੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੀ ਹੈ।

ਇੱਕ ਤੇਜ਼ੀ ਨਾਲ ਢਲਦਾ ਸਾਈਬਰ ਖ਼ਤਰਾ

ਆਰਕੇਨ ਮਾਲਵੇਅਰ ਮੁਹਿੰਮ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਦੀ ਅਨੁਕੂਲਤਾ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ ਜੋ ਆਪਣੇ ਹਮਲੇ ਦੇ ਤਰੀਕਿਆਂ ਨੂੰ ਲਗਾਤਾਰ ਸੁਧਾਰਦੇ ਰਹਿੰਦੇ ਹਨ। ਆਰਕੇਨ ਆਪਣੀਆਂ ਵਿਆਪਕ ਡੇਟਾ ਇਕੱਠਾ ਕਰਨ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਅਤੇ ਏਨਕ੍ਰਿਪਟਡ ਜਾਣਕਾਰੀ ਕੱਢਣ ਲਈ ਉੱਨਤ ਤਕਨੀਕਾਂ ਦੇ ਕਾਰਨ ਵੱਖਰਾ ਹੈ। ਇਹ ਕਾਰਵਾਈ ਇੱਕ ਯਾਦ ਦਿਵਾਉਂਦੀ ਹੈ ਕਿ ਨੁਕਸਾਨ ਰਹਿਤ ਦਿਖਾਈ ਦੇਣ ਵਾਲੇ ਗੇਮ ਚੀਟ ਡਾਊਨਲੋਡ ਵੀ ਗੰਭੀਰ ਸੁਰੱਖਿਆ ਖਤਰਿਆਂ ਦਾ ਪ੍ਰਵੇਸ਼ ਦੁਆਰ ਹੋ ਸਕਦੇ ਹਨ।