Злонамерни софтвер Арцане Стеалер
Сајбер криминалци користе ИоуТубе видео снимке који промовишу варање игара за дистрибуцију новоидентификованог малвера под називом Арцане. Овај малвер за крађу првенствено циља кориснике који говоре руски и способан је да прикупи широк спектар осетљивих података са компромитованих система.
Преглед садржаја
Како се тајанствено шири
Напад почиње са везама уграђеним у ИоуТубе видео записе који несуђене кориснике воде до архива заштићених лозинком. Када се извуку, ове архиве садрже старт.бат батцх фајл, који користи ПоверСхелл за преузимање и извршавање додатних датотека. Током овог процеса, Виндовс СмартСцреен заштита је онемогућена да би се избегле мере безбедности.
Злонамерни софтвер извршава две кључне компоненте: рудар за криптовалуте и малвер за крађу. У почетку, крадљивац је идентификован као ВГС, варијанта Пхемедроне Стеалер-а, али до новембра 2024. нападачи су прешли на коришћење Арцане-а. Док Арцане позајмљује елементе од других крадљиваца, истраживачи га нису повезали ни са једном специфичном породицом малвера.
Тхе Дата Арцане Стеалс
Арцане је дизајниран да извуче широк спектар осетљивих информација, укључујући акредитиве за пријаву, лозинке, податке о кредитној картици и колачиће ускладиштене у прегледачима заснованим на Цхромиум-у и Гецко-у. Такође прикупља системске податке. Малвер извлачи конфигурационе датотеке, подешавања и детаље налога из широког спектра апликација, укључујући:
- ВПН клијенти : ОпенВПН, Муллвад, НордВПН, ИПВанисх, Сурфсхарк, Протон, хидеми.наме, ПИА, ЦиберГхост, ЕкпрессВПН
- Мрежни клијенти и услужни програми : нгрок, Плаиит, Цибердуцк, ФилеЗилла, ДинДНС
- Апликације за размену порука : ИЦК, Ток, Скипе, Пидгин, Сигнал, Елемент, Дисцорд, Телеграм, Јаббер, Вибер
- Клијенти е-поште : Мицрософт Оутлоок
- Клијенти и услуге за игре : Риот Цлиент, Епиц, Стеам, Убисофт Цоннецт (раније Уплаи), Роблок, Баттле.нет, разни Минецрафт клијенти
- Крипто новчаници : Зцасх, Армори, Битецоин, Јакк, Екодус, Етхереум, Елецтрум, Атомиц, Гуарда, Цоиноми
Поред стандардне крађе акредитива, Арцане користи софистициране технике за побољшање прикупљања података. Користи АПИ за заштиту података (ДПАПИ) за издвајање кључева за шифровање које користе прегледачи да обезбеде сачуване лозинке и колачиће. Поред тога, он извршава скривену инстанцу услужног програма Ксаитак да би разбио ове кључеве за шифровање, обезбеђујући потпун приступ сачуваним акредитивима. Да би издвојио колачиће за аутентификацију из прегледача заснованих на Цхромиум-у, он покреће копију прегледача преко порта за отклањање грешака, заобилазећи традиционалне безбедносне баријере.
Појава АрцанаЛоадер-а
У даљој еволуцији своје тактике, нападачи су представили АрцанаЛоадер, претећу алатку прерушену у софтвер за преузимање варалица за игре. Уместо варалица, алатка примењује Арцане, додатно проширујући домет малвера. Кампања првенствено циља на кориснике у Русији, Белорусији и Казахстану.
Сајбер претња која се брзо прилагођава
Кампања против злонамерног софтвера Арцане наглашава прилагодљивост сајбер криминалаца који непрестано усавршавају своје методе напада. Арцане се издваја по својим широким могућностима прикупљања података и напредним техникама за издвајање шифрованих информација. Ова операција служи као подсетник да чак и наизглед безопасна преузимања варалица за игре могу бити пролаз до озбиљних безбедносних претњи.
