Arcane Stealer Malware

Kriminelët kibernetikë po përdorin videot në YouTube që promovojnë mashtrime në lojëra për të shpërndarë një malware të sapoidentifikuar të quajtur Arcane. Ky malware vjedhës synon kryesisht përdoruesit që flasin rusisht dhe është në gjendje të mbledhë një gamë të gjerë të dhënash të ndjeshme nga sistemet e komprometuara.

Si përhapet misterioz

Sulmi fillon me lidhje të ngulitura në videot e YouTube që çojnë përdoruesit që nuk dyshojnë në arkiva të mbrojtura me fjalëkalim. Pasi të nxirren, këto arkiva përmbajnë një skedar grupi start.bat, i cili përdor PowerShell për të shkarkuar dhe ekzekutuar skedarë shtesë. Gjatë këtij procesi, mbrojtja e Windows SmartScreen çaktivizohet për të shmangur masat e sigurisë.

Malware ekzekuton dy komponentë kryesorë: një minator kriptomonedhe dhe një malware vjedhës. Fillimisht, vjedhësi u identifikua si VGS, një variant i Phemedrone Stealer, por deri në nëntor 2024, sulmuesit kishin kaluar në përdorimin e Arcane. Ndërsa Arcane merr hua elemente nga vjedhës të tjerë, studiuesit nuk e kanë lidhur atë me ndonjë familje specifike malware.

Vjedhja e fshehtë e të dhënave

Arcane është krijuar për të nxjerrë një gamë të gjerë informacionesh të ndjeshme, duke përfshirë kredencialet e hyrjes, fjalëkalimet, detajet e kartës së kreditit dhe skedarët e skedarëve të ruajtur si në shfletues të bazuar në Chromium ashtu edhe në Gecko. Ai gjithashtu mbledh të dhëna të sistemit. Malware nxjerr skedarët e konfigurimit, cilësimet dhe detajet e llogarisë nga një gamë e gjerë aplikacionesh, duke përfshirë:

• Klientët VPN : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN
• Klientët e rrjetit dhe shërbimet : ngrok, Playit, Cyberduck, FileZilla, DynDNS
• Aplikacionet e mesazheve : ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber
• Klientët e postës elektronike : Microsoft Outlook
• Klientët dhe shërbimet e lojërave : Riot Client, Epic, Steam, Ubisoft Connect (dikur Uplay), Roblox, Battle.net, klientë të ndryshëm Minecraft
• Kuletat kripto : Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi

Përtej vjedhjes standarde të kredencialeve, Arcane përdor teknika të sofistikuara për të përmirësuar mbledhjen e të dhënave. Ai përdor API-në e mbrojtjes së të dhënave (DPAPI) për të nxjerrë çelësat e enkriptimit të përdorur nga shfletuesit për të siguruar fjalëkalime dhe kuki të ruajtura. Për më tepër, ai ekzekuton një shembull të fshehur të programit Xaitax për të thyer këta çelësa të enkriptimit, duke siguruar akses të plotë në kredencialet e ruajtura. Për të nxjerrë kukit e vërtetimit nga shfletuesit e bazuar në Chromium, ai lëshon një kopje të shfletuesit përmes një porti korrigjimi, duke anashkaluar barrierat tradicionale të sigurisë.

Shfaqja e ArcanaLoader

Në një evolucion të mëtejshëm të taktikave të tyre, sulmuesit kanë prezantuar ArcanaLoader, një mjet kërcënues i maskuar si softuer për shkarkimin e mashtrimeve të lojërave. Në vend të mashtrimeve, mjeti vendos Arcane, duke zgjeruar më tej shtrirjen e malware. Fushata synon kryesisht përdoruesit në Rusi, Bjellorusi dhe Kazakistan.

Një kërcënim kibernetik që përshtatet me shpejtësi

Fushata e malware Arcane thekson përshtatshmërinë e kriminelëve kibernetikë, të cilët vazhdimisht përmirësojnë metodat e tyre të sulmit. Arcane dallohet për shkak të aftësive të tij të gjera të mbledhjes së të dhënave dhe teknikave të avancuara për nxjerrjen e informacionit të koduar. Ky operacion shërben si një kujtesë se edhe shkarkimet e mashtrimeve të lojërave në dukje të padëmshme mund të jenë një portë për kërcënime të rënda të sigurisë.