Zlonamerna programska oprema Arcane Stealer
Kibernetski kriminalci izkoriščajo videoposnetke v YouTubu, ki promovirajo goljufije v igrah, za distribucijo na novo ugotovljene zlonamerne programske opreme, imenovane Arcane. Ta ukradena zlonamerna programska oprema cilja predvsem na rusko govoreče uporabnike in je sposobna zbirati obsežen nabor občutljivih podatkov iz ogroženih sistemov.
Kazalo
Kako se Arcane širi
Napad se začne s povezavami, vdelanimi v YouTube videoposnetke, ki nič hudega sluteče uporabnike vodijo do arhivov, zaščitenih z geslom. Ko so ekstrahirani, ti arhivi vsebujejo paketno datoteko start.bat, ki uporablja PowerShell za prenos in izvajanje dodatnih datotek. Med tem postopkom je zaščita Windows SmartScreen onemogočena, da se izogne varnostnim ukrepom.
Zlonamerna programska oprema izvaja dve ključni komponenti: rudar kriptovalut in zlonamerno programsko opremo, ki ukrade. Sprva je bil krajec identificiran kot VGS, različica Phemedrone Stealerja, vendar so do novembra 2024 napadalci prešli na uporabo Arcane. Medtem ko si Arcane izposoja elemente od drugih kradljivcev, ga raziskovalci niso povezali z nobeno specifično družino zlonamerne programske opreme.
The Data Arcane Steals
Arcane je zasnovan za pridobivanje najrazličnejših občutljivih informacij, vključno s poverilnicami za prijavo, gesli, podatki o kreditnih karticah in piškotki, shranjenimi v brskalnikih Chromium in Gecko. Zbira tudi sistemske podatke. Zlonamerna programska oprema izvleče konfiguracijske datoteke, nastavitve in podrobnosti o računu iz številnih aplikacij, vključno z:
- Odjemalci VPN : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN
- Omrežni odjemalci in pripomočki : ngrok, Playit, Cyberduck, FileZilla, DynDNS
- Aplikacije za sporočanje : ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber
- E-poštni odjemalci : Microsoft Outlook
- Odjemalci in storitve za igre : Riot Client, Epic, Steam, Ubisoft Connect (prej Uplay), Roblox, Battle.net, različni odjemalci Minecraft
- Kripto denarnice : Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi
Poleg standardne kraje poverilnic Arcane uporablja prefinjene tehnike za izboljšanje zbiranja podatkov. Uporablja API za zaščito podatkov (DPAPI) za pridobivanje šifrirnih ključev, ki jih uporabljajo brskalniki za zaščito shranjenih gesel in piškotkov. Poleg tega izvede skrito instanco pripomočka Xaitax za vdiranje teh šifrirnih ključev, kar zagotavlja popoln dostop do shranjenih poverilnic. Za pridobivanje piškotkov za preverjanje pristnosti iz brskalnikov, ki temeljijo na Chromiumu, zažene kopijo brskalnika prek vrat za odpravljanje napak, pri čemer obide tradicionalne varnostne ovire.
Pojav ArcanaLoaderja
V nadaljnjem razvoju svoje taktike so napadalci uvedli ArcanaLoader, grozljivo orodje, prikrito kot programska oprema za nalaganje goljufij za igre. Namesto goljufij orodje uporablja Arcane, kar dodatno širi doseg zlonamerne programske opreme. Kampanja je namenjena predvsem uporabnikom v Rusiji, Belorusiji in Kazahstanu.
Kibernetska grožnja, ki se hitro prilagaja
Kampanja zlonamerne programske opreme Arcane poudarja prilagodljivost kibernetskih kriminalcev, ki nenehno izpopolnjujejo svoje metode napada. Arcane izstopa zaradi svojih obsežnih zmogljivosti zbiranja podatkov in naprednih tehnik za pridobivanje šifriranih informacij. Ta operacija služi kot opomnik, da so lahko tudi navidezno neškodljivi prenosi goljufanja v igri prehod do resnih varnostnih groženj.
