Arcane Stealer Malware

సైబర్ నేరస్థులు గేమ్ చీట్‌లను ప్రోత్సహించే YouTube వీడియోలను ఉపయోగించి Arcane అనే కొత్తగా గుర్తించబడిన మాల్వేర్‌ను పంపిణీ చేస్తున్నారు. ఈ స్టీలర్ మాల్వేర్ ప్రధానంగా రష్యన్ మాట్లాడే వినియోగదారులను లక్ష్యంగా చేసుకుంటుంది మరియు రాజీపడిన వ్యవస్థల నుండి విస్తృత శ్రేణి సున్నితమైన డేటాను సేకరించగలదు.

మర్మమైన ఎలా వ్యాపిస్తుంది

ఈ దాడి YouTube వీడియోలలో పొందుపరచబడిన లింక్‌లతో ప్రారంభమవుతుంది, ఇవి అనుమానం లేని వినియోగదారులను పాస్‌వర్డ్-రక్షిత ఆర్కైవ్‌లకు దారితీస్తాయి. సంగ్రహించిన తర్వాత, ఈ ఆర్కైవ్‌లు start.bat బ్యాచ్ ఫైల్‌ను కలిగి ఉంటాయి, ఇది అదనపు ఫైల్‌లను డౌన్‌లోడ్ చేయడానికి మరియు అమలు చేయడానికి పవర్‌షెల్‌ను ఉపయోగిస్తుంది. ఈ ప్రక్రియలో, భద్రతా చర్యలను తప్పించుకోవడానికి Windows SmartScreen రక్షణ నిలిపివేయబడుతుంది.

ఈ మాల్వేర్ రెండు కీలక భాగాలను అమలు చేస్తుంది: క్రిప్టోకరెన్సీ మైనర్ మరియు స్టీలర్ మాల్వేర్. ప్రారంభంలో, స్టీలర్‌ను ఫెమెడ్రోన్ స్టీలర్ యొక్క వేరియంట్ అయిన VGSగా గుర్తించారు, కానీ నవంబర్ 2024 నాటికి, దాడి చేసేవారు ఆర్కేన్‌ను ఉపయోగించడం ప్రారంభించారు. ఆర్కేన్ ఇతర స్టీలర్ల నుండి మూలకాలను తీసుకుంటుండగా, పరిశోధకులు దానిని ఏ నిర్దిష్ట మాల్వేర్ కుటుంబానికి లింక్ చేయలేదు.

డేటా మిస్టరీ స్టీల్స్

ఆర్కేన్ అనేది క్రోమియం- మరియు గెక్కో-ఆధారిత బ్రౌజర్‌లలో నిల్వ చేయబడిన లాగిన్ ఆధారాలు, పాస్‌వర్డ్‌లు, క్రెడిట్ కార్డ్ వివరాలు మరియు కుక్కీలతో సహా అనేక రకాల సున్నితమైన సమాచారాన్ని సంగ్రహించడానికి రూపొందించబడింది. ఇది సిస్టమ్ డేటాను కూడా సేకరిస్తుంది. మాల్వేర్ విస్తృత శ్రేణి అప్లికేషన్‌ల నుండి కాన్ఫిగరేషన్ ఫైల్‌లు, సెట్టింగ్‌లు మరియు ఖాతా వివరాలను సంగ్రహిస్తుంది, వాటిలో:

• VPN క్లయింట్లు : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN
• నెట్‌వర్క్ క్లయింట్లు మరియు యుటిలిటీలు : ngrok, Playit, Cyberduck, FileZilla, DynDNS
• మెసేజింగ్ యాప్‌లు : ICQ, టాక్స్, స్కైప్, పిడ్జిన్, సిగ్నల్, ఎలిమెంట్, డిస్కార్డ్, టెలిగ్రామ్, జాబర్, వైబర్
• ఈమెయిల్ క్లయింట్లు : మైక్రోసాఫ్ట్ ఔట్లుక్
• గేమింగ్ క్లయింట్లు మరియు సేవలు : రైట్ క్లయింట్, ఎపిక్, స్టీమ్, ఉబిసాఫ్ట్ కనెక్ట్ (గతంలో అప్లే), రోబ్లాక్స్, బాటిల్.నెట్, వివిధ మైన్‌క్రాఫ్ట్ క్లయింట్లు
• క్రిప్టో వాలెట్లు : Zcash, ఆయుధశాల, బైట్‌కాయిన్, Jaxx, ఎక్సోడస్, Ethereum, Electrum, Atomic, Guarda, Coinomi

ప్రామాణిక ఆధారాల దొంగతనం కంటే, ఆర్కేన్ డేటా సేకరణను మెరుగుపరచడానికి అధునాతన పద్ధతులను ఉపయోగిస్తుంది. నిల్వ చేసిన పాస్‌వర్డ్‌లు మరియు కుక్కీలను భద్రపరచడానికి బ్రౌజర్‌లు ఉపయోగించే ఎన్‌క్రిప్షన్ కీలను సంగ్రహించడానికి ఇది డేటా ప్రొటెక్షన్ API (DPAPI)ని ఉపయోగిస్తుంది. అదనంగా, ఈ ఎన్‌క్రిప్షన్ కీలను క్రాక్ చేయడానికి ఇది Xaitax యుటిలిటీ యొక్క దాచిన ఉదాహరణను అమలు చేస్తుంది, నిల్వ చేసిన ఆధారాలకు పూర్తి ప్రాప్యతను నిర్ధారిస్తుంది. Chromium-ఆధారిత బ్రౌజర్‌ల నుండి ప్రామాణీకరణ కుక్కీలను సంగ్రహించడానికి, ఇది సాంప్రదాయ భద్రతా అడ్డంకులను దాటవేసి డీబగ్ పోర్ట్ ద్వారా బ్రౌజర్ కాపీని ప్రారంభిస్తుంది.

ఆర్కానాలోడర్ యొక్క ఆవిర్భావం

వారి వ్యూహాల మరింత పరిణామంలో, దాడి చేసేవారు గేమ్ చీట్‌లను డౌన్‌లోడ్ చేసుకోవడానికి సాఫ్ట్‌వేర్‌గా మారువేషంలో ఉన్న బెదిరింపు సాధనం ఆర్కానాలోడర్‌ను ప్రవేశపెట్టారు. చీట్‌లకు బదులుగా, ఈ సాధనం ఆర్కేన్‌ను అమలు చేస్తుంది, మాల్వేర్ పరిధిని మరింత విస్తరిస్తుంది. ఈ ప్రచారం ప్రధానంగా రష్యా, బెలారస్ మరియు కజకిస్తాన్‌లోని వినియోగదారులను లక్ష్యంగా చేసుకుంటుంది.

వేగంగా మారుతున్న సైబర్ ముప్పు

ఆర్కేన్ మాల్వేర్ ప్రచారం తమ దాడి పద్ధతులను నిరంతరం మెరుగుపరుచుకునే సైబర్ నేరస్థుల అనుకూలతను హైలైట్ చేస్తుంది. ఆర్కేన్ దాని విస్తృతమైన డేటా సేకరణ సామర్థ్యాలు మరియు గుప్తీకరించిన సమాచారాన్ని సంగ్రహించడానికి అధునాతన పద్ధతుల కారణంగా ప్రత్యేకంగా నిలుస్తుంది. ఈ ఆపరేషన్ హానిచేయని గేమ్ చీట్ డౌన్‌లోడ్‌లు కూడా తీవ్రమైన భద్రతా ముప్పులకు ప్రవేశ ద్వారం కాగలవని గుర్తు చేస్తుంది.