Arcane Stealer Malware
อาชญากรไซเบอร์ใช้ประโยชน์จากวิดีโอ YouTube ที่ส่งเสริมการโกงเกมเพื่อเผยแพร่มัลแวร์ที่เพิ่งค้นพบใหม่ที่เรียกว่า Arcane มัลแวร์ขโมยข้อมูลนี้มุ่งเป้าไปที่ผู้ใช้ที่พูดภาษารัสเซียเป็นหลัก และสามารถรวบรวมข้อมูลที่ละเอียดอ่อนจำนวนมากจากระบบที่ถูกบุกรุกได้
สารบัญ
การแพร่กระจายของอาร์เคน
การโจมตีเริ่มต้นด้วยการฝังลิงก์ในวิดีโอ YouTube ซึ่งจะนำผู้ใช้ที่ไม่สงสัยไปยังไฟล์เก็บถาวรที่ได้รับการป้องกันด้วยรหัสผ่าน เมื่อแตกไฟล์แล้ว ไฟล์เก็บถาวรเหล่านี้จะมีไฟล์แบตช์ start.bat ซึ่งใช้ PowerShell เพื่อดาวน์โหลดและเรียกใช้ไฟล์เพิ่มเติม ในระหว่างกระบวนการนี้ การป้องกัน Windows SmartScreen จะถูกปิดใช้งานเพื่อหลีกเลี่ยงมาตรการรักษาความปลอดภัย
มัลแวร์นี้ทำงานด้วยองค์ประกอบสำคัญ 2 อย่าง ได้แก่ ตัวขุดสกุลเงินดิจิทัลและมัลแวร์ขโมยข้อมูล ในตอนแรก ตัวขโมยข้อมูลถูกระบุว่าเป็น VGS ซึ่งเป็นตัวแปรของ Phemedrone Stealer แต่ในเดือนพฤศจิกายน 2024 ผู้โจมตีได้เปลี่ยนมาใช้ Arcane แล้ว แม้ว่า Arcane จะยืมองค์ประกอบมาจากตัวขโมยข้อมูลอื่น แต่ผู้วิจัยยังไม่ได้เชื่อมโยงมันกับกลุ่มมัลแวร์ใดโดยเฉพาะ
การขโมยข้อมูลแบบลึกลับ
Arcane ได้รับการออกแบบมาเพื่อดึงข้อมูลที่ละเอียดอ่อนหลากหลายประเภท รวมถึงข้อมูลรับรองการเข้าสู่ระบบ รหัสผ่าน รายละเอียดบัตรเครดิต และคุกกี้ที่จัดเก็บในเบราว์เซอร์ที่ใช้ Chromium และ Gecko นอกจากนี้ยังรวบรวมข้อมูลระบบอีกด้วย มัลแวร์ดึงไฟล์การกำหนดค่า การตั้งค่า และรายละเอียดบัญชีจากแอปพลิเคชันที่หลากหลาย รวมถึง:
- ไคลเอนต์ VPN : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN
- ไคลเอนต์และยูทิลิตี้เครือข่าย : ngrok, Playit, Cyberduck, FileZilla, DynDNS
- แอปส่งข้อความ : ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber
- ไคลเอนต์อีเมล : Microsoft Outlook
- ไคลเอนต์และบริการเกม : Riot Client, Epic, Steam, Ubisoft Connect (เดิมชื่อ Uplay), Roblox, Battle.net, ไคลเอนต์ Minecraft ต่างๆ
- กระเป๋าเงิน Crypto : Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi
นอกเหนือจากการขโมยข้อมูลประจำตัวมาตรฐานแล้ว Arcane ยังใช้เทคนิคที่ซับซ้อนเพื่อปรับปรุงการรวบรวมข้อมูล โดยใช้ Data Protection API (DPAPI) เพื่อแยกคีย์การเข้ารหัสที่ใช้โดยเบราว์เซอร์เพื่อรักษาความปลอดภัยให้กับรหัสผ่านและคุกกี้ที่จัดเก็บไว้ นอกจากนี้ Arcane ยังเรียกใช้อินสแตนซ์ที่ซ่อนอยู่ของยูทิลิตี้ Xaitax เพื่อแคร็กคีย์การเข้ารหัสเหล่านี้ เพื่อให้แน่ใจว่าสามารถเข้าถึงข้อมูลประจำตัวที่จัดเก็บไว้ได้อย่างสมบูรณ์ หากต้องการแยกคุกกี้การตรวจสอบสิทธิ์จากเบราว์เซอร์ที่ใช้ Chromium Arcane จะเปิดใช้งานสำเนาของเบราว์เซอร์ผ่านพอร์ตดีบัก โดยหลีกเลี่ยงอุปสรรคด้านความปลอดภัยแบบเดิม
การเกิดขึ้นของ ArcanaLoader
ในการพัฒนากลยุทธ์ขั้นต่อไป ผู้โจมตีได้แนะนำ ArcanaLoader ซึ่งเป็นเครื่องมือคุกคามที่ปลอมตัวมาเป็นซอฟต์แวร์สำหรับดาวน์โหลดโปรแกรมโกงเกม เครื่องมือนี้ใช้ Arcane แทนโปรแกรมโกง ทำให้มัลแวร์ขยายขอบเขตการเข้าถึงได้มากขึ้น แคมเปญนี้มุ่งเป้าไปที่ผู้ใช้ในรัสเซีย เบลารุส และคาซัคสถานเป็นหลัก
ภัยคุกคามทางไซเบอร์ที่ปรับตัวอย่างรวดเร็ว
แคมเปญมัลแวร์ Arcane เน้นย้ำถึงความสามารถในการปรับตัวของอาชญากรไซเบอร์ที่ปรับปรุงวิธีการโจมตีอย่างต่อเนื่อง Arcane โดดเด่นด้วยความสามารถในการรวบรวมข้อมูลที่ครอบคลุมและเทคนิคขั้นสูงในการแยกข้อมูลที่เข้ารหัส การดำเนินการนี้ทำหน้าที่เตือนใจว่าแม้แต่การดาวน์โหลดโปรแกรมโกงเกมที่ดูเหมือนไม่เป็นอันตรายก็สามารถเป็นประตูสู่ภัยคุกคามความปลอดภัยที่ร้ายแรงได้
