Arcane Stealer Malware

சைபர் குற்றவாளிகள் விளையாட்டு ஏமாற்றுக்காரர்களை ஊக்குவிக்கும் YouTube வீடியோக்களைப் பயன்படுத்தி, Arcane எனப்படும் புதிதாக அடையாளம் காணப்பட்ட தீம்பொருளை விநியோகிக்கின்றனர். இந்த திருட்டு தீம்பொருள் முதன்மையாக ரஷ்ய மொழி பேசும் பயனர்களை குறிவைக்கிறது மற்றும் சமரசம் செய்யப்பட்ட அமைப்புகளிலிருந்து விரிவான அளவிலான முக்கியமான தரவைச் சேகரிக்கும் திறன் கொண்டது.

ஆர்கேன் எவ்வாறு பரவுகிறது

யூடியூப் வீடியோக்களில் உட்பொதிக்கப்பட்ட இணைப்புகளுடன் தாக்குதல் தொடங்குகிறது, இது சந்தேகத்திற்கு இடமில்லாத பயனர்களை கடவுச்சொல் பாதுகாக்கப்பட்ட காப்பகங்களுக்கு இட்டுச் செல்கிறது. பிரித்தெடுக்கப்பட்டவுடன், இந்த காப்பகங்களில் ஒரு start.bat தொகுதி கோப்பு உள்ளது, இது கூடுதல் கோப்புகளைப் பதிவிறக்கி இயக்க பவர்ஷெல்லைப் பயன்படுத்துகிறது. இந்தச் செயல்பாட்டின் போது, பாதுகாப்பு நடவடிக்கைகளைத் தவிர்க்க Windows SmartScreen பாதுகாப்பு முடக்கப்பட்டுள்ளது.

இந்த தீம்பொருள் இரண்டு முக்கிய கூறுகளை செயல்படுத்துகிறது: ஒரு கிரிப்டோகரன்சி மைனர் மற்றும் ஒரு ஸ்டீலர் மால்வேர். ஆரம்பத்தில், திருடுபவர் ஃபெமெட்ரோன் ஸ்டீலரின் மாறுபாடான VGS என அடையாளம் காணப்பட்டார், ஆனால் நவம்பர் 2024 வாக்கில், தாக்குபவர்கள் ஆர்கேனைப் பயன்படுத்துவதற்கு மாறிவிட்டனர். ஆர்கேன் மற்ற திருடர்களிடமிருந்து கூறுகளை கடன் வாங்கினாலும், ஆராய்ச்சியாளர்கள் அதை எந்த குறிப்பிட்ட தீம்பொருள் குடும்பத்துடனும் இணைக்கவில்லை.

தரவு ரகசிய திருட்டுகள்

குரோமியம் மற்றும் கெக்கோ அடிப்படையிலான உலாவிகளில் சேமிக்கப்பட்ட உள்நுழைவு சான்றுகள், கடவுச்சொற்கள், கிரெடிட் கார்டு விவரங்கள் மற்றும் குக்கீகள் உள்ளிட்ட பல்வேறு வகையான முக்கியமான தகவல்களைப் பிரித்தெடுக்க ஆர்கேன் வடிவமைக்கப்பட்டுள்ளது. இது கணினித் தரவையும் சேகரிக்கிறது. தீம்பொருள் பல்வேறு பயன்பாடுகளிலிருந்து உள்ளமைவு கோப்புகள், அமைப்புகள் மற்றும் கணக்கு விவரங்களைப் பிரித்தெடுக்கிறது, அவற்றுள்:

• VPN கிளையண்டுகள் : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN
• நெட்வொர்க் கிளையண்டுகள் மற்றும் பயன்பாடுகள் : ngrok, Playit, Cyberduck, FileZilla, DynDNS
• செய்தியிடல் பயன்பாடுகள் : ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber
• மின்னஞ்சல் கிளையண்டுகள் : மைக்ரோசாப்ட் அவுட்லுக்
• கேமிங் கிளையண்டுகள் மற்றும் சேவைகள் : ரியட் கிளையண்ட், எபிக், ஸ்டீம், யுபிசாஃப்ட் கனெக்ட் (முன்னர் அப்லே), ரோப்லாக்ஸ், Battle.net, பல்வேறு மைன்கிராஃப்ட் கிளையண்டுகள்.
• கிரிப்டோ பணப்பைகள் : Zcash, ஆயுதக்கடை, பைட்காயின், Jaxx, எக்ஸோடஸ், Ethereum, Electrum, அணு, Guarda, Coinomi

நிலையான நற்சான்றிதழ் திருட்டுக்கு அப்பால், தரவு சேகரிப்பை மேம்படுத்த ஆர்கேன் அதிநவீன நுட்பங்களைப் பயன்படுத்துகிறது. சேமிக்கப்பட்ட கடவுச்சொற்கள் மற்றும் குக்கீகளைப் பாதுகாக்க உலாவிகளால் பயன்படுத்தப்படும் குறியாக்க விசைகளைப் பிரித்தெடுக்க இது தரவு பாதுகாப்பு API (DPAPI) ஐப் பயன்படுத்துகிறது. கூடுதலாக, இந்த குறியாக்க விசைகளை உடைக்க Xaitax பயன்பாட்டின் மறைக்கப்பட்ட நிகழ்வை இது செயல்படுத்துகிறது, சேமிக்கப்பட்ட நற்சான்றிதழ்களுக்கான முழு அணுகலை உறுதி செய்கிறது. Chromium-அடிப்படையிலான உலாவிகளில் இருந்து அங்கீகார குக்கீகளைப் பிரித்தெடுக்க, பாரம்பரிய பாதுகாப்பு தடைகளைத் தவிர்த்து, பிழைத்திருத்த போர்ட் மூலம் உலாவியின் நகலை இது தொடங்குகிறது.

அர்கானாலோடரின் தோற்றம்

தங்கள் தந்திரோபாயங்களின் மேலும் பரிணாம வளர்ச்சியில், தாக்குதல் நடத்தியவர்கள் விளையாட்டு ஏமாற்றுக்காரர்களைப் பதிவிறக்குவதற்கான மென்பொருளாக மாறுவேடமிட்டு அச்சுறுத்தும் கருவியான ArcanaLoader ஐ அறிமுகப்படுத்தியுள்ளனர். ஏமாற்றுக்காரர்களுக்குப் பதிலாக, இந்தக் கருவி Arcane ஐப் பயன்படுத்துகிறது, இது தீம்பொருளின் வரம்பை மேலும் விரிவுபடுத்துகிறது. இந்தப் பிரச்சாரம் முதன்மையாக ரஷ்யா, பெலாரஸ் மற்றும் கஜகஸ்தானில் உள்ள பயனர்களை குறிவைக்கிறது.

விரைவாகத் தகவமைத்துக் கொள்ளும் சைபர் அச்சுறுத்தல்

ஆர்கேன் தீம்பொருள் பிரச்சாரம், தங்கள் தாக்குதல் முறைகளைத் தொடர்ந்து செம்மைப்படுத்தும் சைபர் குற்றவாளிகளின் தகவமைப்புத் திறனை எடுத்துக்காட்டுகிறது. ஆர்கேன் அதன் விரிவான தரவு சேகரிப்பு திறன்கள் மற்றும் மறைகுறியாக்கப்பட்ட தகவல்களைப் பிரித்தெடுப்பதற்கான மேம்பட்ட நுட்பங்கள் காரணமாக தனித்து நிற்கிறது. இந்த செயல்பாடு, பாதிப்பில்லாததாகத் தோன்றும் விளையாட்டு ஏமாற்று பதிவிறக்கங்கள் கூட கடுமையான பாதுகாப்பு அச்சுறுத்தல்களுக்கு ஒரு நுழைவாயிலாக இருக்கலாம் என்பதை நினைவூட்டுகிறது.