Arcane Stealer Malware
Kyberzločinci využívajú videá YouTube, ktoré propagujú herné cheaty, na distribúciu novo identifikovaného malvéru s názvom Arcane. Tento zlodejský malvér sa primárne zameriava na rusky hovoriacich používateľov a je schopný zhromažďovať širokú škálu citlivých údajov z kompromitovaných systémov.
Obsah
Ako sa Arcane šíri
Útok začína odkazmi vloženými do videí na YouTube, ktoré vedú nič netušiacich používateľov k archívom chráneným heslom. Po rozbalení tieto archívy obsahujú dávkový súbor start.bat, ktorý používa PowerShell na stiahnutie a spustenie ďalších súborov. Počas tohto procesu je ochrana Windows SmartScreen zakázaná, aby sa obišli bezpečnostné opatrenia.
Malvér spúšťa dve kľúčové komponenty: ťažbu kryptomien a zlodejský malvér. Pôvodne bol zlodej identifikovaný ako VGS, variant Phemedrone Stealer, ale v novembri 2024 útočníci prešli na používanie Arcane. Zatiaľ čo Arcane si požičiava prvky od iných zlodejov, výskumníci ho nespájajú so žiadnou konkrétnou rodinou malvéru.
The Data Arcane kradne
Arcane je navrhnutý tak, aby získaval širokú škálu citlivých informácií vrátane prihlasovacích údajov, hesiel, údajov o kreditných kartách a súborov cookie uložených v prehliadačoch založených na prehliadači Chromium a Gecko. Zhromažďuje tiež systémové údaje. Malvér extrahuje konfiguračné súbory, nastavenia a podrobnosti o účte zo širokej škály aplikácií vrátane:
- VPN klienti : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN
- Sieťoví klienti a nástroje : ngrok, Playit, Cyberduck, FileZilla, DynDNS
- Aplikácie na odosielanie správ : ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber
- E-mailoví klienti : Microsoft Outlook
- Herní klienti a služby : Riot Client, Epic, Steam, Ubisoft Connect (predtým Uplay), Roblox, Battle.net, rôzni Minecraft klienti
- Krypto peňaženky : Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi
Okrem štandardnej krádeže poverení využíva Arcane sofistikované techniky na zlepšenie zberu údajov. Využíva rozhranie Data Protection API (DPAPI) na extrahovanie šifrovacích kľúčov používaných prehliadačmi na zabezpečenie uložených hesiel a súborov cookie. Okrem toho spustí skrytú inštanciu nástroja Xaitax na prelomenie týchto šifrovacích kľúčov, čím sa zabezpečí úplný prístup k uloženým povereniam. Na extrahovanie autentifikačných súborov cookie z prehliadačov založených na prehliadači Chromium spustí kópiu prehliadača cez ladiaci port, čím obíde tradičné bezpečnostné bariéry.
Vznik ArcanaLoader
V ďalšom vývoji svojej taktiky útočníci predstavili ArcanaLoader, hrozivý nástroj maskovaný ako softvér na sťahovanie herných cheatov. Namiesto cheatov tento nástroj nasadzuje Arcane, čím ďalej rozširuje dosah malvéru. Kampaň primárne cieli na používateľov v Rusku, Bielorusku a Kazachstane.
Rýchlo sa prispôsobujúca kybernetická hrozba
Kampaň proti malvéru Arcane zdôrazňuje prispôsobivosť kyberzločincov, ktorí neustále zdokonaľujú svoje metódy útokov. Arcane vyniká svojimi rozsiahlymi možnosťami zberu údajov a pokročilými technikami na extrahovanie zašifrovaných informácií. Táto operácia slúži ako pripomienka, že aj zdanlivo neškodné sťahovanie cheatov na hry môže byť bránou k vážnym bezpečnostným hrozbám.
