Arcane Stealer Malware

Ang mga cybercriminal ay gumagamit ng mga video sa YouTube na nagpo-promote ng mga cheat ng laro upang ipamahagi ang isang bagong natukoy na malware na tinatawag na Arcane. Pangunahing tina-target ng stealer malware na ito ang mga user na nagsasalita ng Russian at may kakayahang mangalap ng malawak na hanay ng sensitibong data mula sa mga nakompromisong system.

Paano Kumakalat si Arcane

Nagsisimula ang pag-atake sa mga link na naka-embed sa mga video sa YouTube na humahantong sa mga hindi pinaghihinalaang user sa mga archive na protektado ng password. Kapag na-extract na, naglalaman ang mga archive na ito ng start.bat batch file, na gumagamit ng PowerShell para mag-download at magsagawa ng mga karagdagang file. Sa prosesong ito, hindi pinagana ang proteksyon ng Windows SmartScreen upang maiwasan ang mga hakbang sa seguridad.

Ang malware ay nagpapatupad ng dalawang pangunahing bahagi: isang cryptocurrency na minero at isang magnanakaw na malware. Sa una, ang magnanakaw ay nakilala bilang VGS, isang variant ng Phemedrone Stealer, ngunit noong Nobyembre 2024, ang mga umaatake ay lumipat sa paggamit ng Arcane. Habang humihiram si Arcane ng mga elemento mula sa iba pang mga magnanakaw, hindi ito iniugnay ng mga mananaliksik sa anumang partikular na pamilya ng malware.

The Data Arcane Steals

Idinisenyo ang Arcane upang kunin ang isang malawak na iba't ibang sensitibong impormasyon, kabilang ang mga kredensyal sa pag-log in, mga password, mga detalye ng credit card at cookies na nakaimbak sa parehong mga browser na nakabatay sa Chromium at Gecko. Nagtitipon din ito ng data ng system. Kinukuha ng malware ang mga configuration file, setting, at mga detalye ng account mula sa malawak na hanay ng mga application, kabilang ang:

• Mga kliyente ng VPN : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN
• Mga kliyente at utility ng network : ngrok, Playit, Cyberduck, FileZilla, DynDNS
• Mga app sa pagmemensahe : ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber
• Mga email client : Microsoft Outlook
• Mga kliyente at serbisyo ng gaming : Riot Client, Epic, Steam, Ubisoft Connect (dating Uplay), Roblox, Battle.net, iba't ibang mga Minecraft client
• Crypto wallet : Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi

Higit pa sa karaniwang pagnanakaw ng kredensyal, gumagamit si Arcane ng mga sopistikadong pamamaraan upang mapahusay ang pangongolekta ng data. Ginagamit nito ang Data Protection API (DPAPI) para kunin ang mga encryption key na ginagamit ng mga browser para ma-secure ang mga nakaimbak na password at cookies. Bukod pa rito, nagsasagawa ito ng isang nakatagong instance ng Xaitax utility para i-crack ang mga encryption key na ito, na tinitiyak ang ganap na access sa mga naka-imbak na kredensyal. Upang kunin ang cookies ng pagpapatunay mula sa mga browser na nakabatay sa Chromium, naglulunsad ito ng kopya ng browser sa pamamagitan ng isang debug port, na nilalampasan ang mga tradisyunal na hadlang sa seguridad.

Ang Paglabas ng ArcanaLoader

Sa isang karagdagang ebolusyon ng kanilang mga taktika, ipinakilala ng mga umaatake ang ArcanaLoader, isang nagbabantang tool na itinago bilang software para sa pag-download ng mga cheat ng laro. Sa halip na mga cheat, ang tool ay nag-deploy ng Arcane, na higit pang nagpapalawak ng abot ng malware. Pangunahing tina-target ng campaign ang mga user sa Russia, Belarus at Kazakhstan.

Isang Mabilis na Pag-angkop sa Cyber Threat

Itinatampok ng Arcane malware campaign ang kakayahang umangkop ng mga cybercriminal na patuloy na pinipino ang kanilang mga paraan ng pag-atake. Namumukod-tangi ang Arcane dahil sa malawak nitong mga kakayahan sa pagkolekta ng data at mga advanced na diskarte para sa pagkuha ng naka-encrypt na impormasyon. Ang operasyong ito ay nagsisilbing paalala na kahit na ang mga pag-download ng cheat ng laro na tila hindi nakakapinsala ay maaaring maging gateway sa matitinding banta sa seguridad.