Arcane Stealer Malware
Siber suçlular, Arcane adlı yeni tanımlanmış bir kötü amaçlı yazılımı dağıtmak için oyun hilelerini tanıtan YouTube videolarından yararlanıyor. Bu hırsız kötü amaçlı yazılım, öncelikli olarak Rusça konuşan kullanıcıları hedef alıyor ve tehlikeye atılmış sistemlerden kapsamlı bir hassas veri yelpazesi toplayabiliyor.
İçindekiler
Arcane Nasıl Yayılır?
Saldırı, YouTube videolarına yerleştirilen ve şüphelenmeyen kullanıcıları parola korumalı arşivlere yönlendiren bağlantılarla başlar. Çıkarıldığında, bu arşivler ek dosyaları indirmek ve yürütmek için PowerShell kullanan bir start.bat toplu iş dosyası içerir. Bu işlem sırasında, güvenlik önlemlerinden kaçınmak için Windows SmartScreen koruması devre dışı bırakılır.
Kötü amaçlı yazılım iki temel bileşeni çalıştırır: bir kripto para madencisi ve bir hırsız kötü amaçlı yazılımı. Başlangıçta, hırsız, Phemedrone Stealer'ın bir çeşidi olan VGS olarak tanımlandı, ancak Kasım 2024'e kadar saldırganlar Arcane kullanmaya geçti. Arcane diğer hırsızlardan öğeler ödünç alırken, araştırmacılar onu belirli bir kötü amaçlı yazılım ailesine bağlamadılar.
Veri Gizli Hırsızlıkları
Arcane, oturum açma kimlik bilgileri, parolalar, kredi kartı bilgileri ve hem Chromium hem de Gecko tabanlı tarayıcılarda depolanan çerezler dahil olmak üzere çok çeşitli hassas bilgileri çıkarmak için tasarlanmıştır. Ayrıca sistem verilerini de toplar. Kötü amaçlı yazılım, aşağıdakiler dahil olmak üzere çok çeşitli uygulamalardan yapılandırma dosyalarını, ayarları ve hesap ayrıntılarını çıkarır:
- VPN istemcileri : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN
- Ağ istemcileri ve yardımcı programları : ngrok, Playit, Cyberduck, FileZilla, DynDNS
- Mesajlaşma uygulamaları : ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber
- E-posta istemcileri : Microsoft Outlook
- Oyun istemcileri ve hizmetleri : Riot Client, Epic, Steam, Ubisoft Connect (eski adıyla Uplay), Roblox, Battle.net, çeşitli Minecraft istemcileri
- Kripto cüzdanları : Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi
Arcane, standart kimlik bilgisi hırsızlığının ötesinde, veri toplamayı geliştirmek için karmaşık teknikler kullanır. Tarayıcılar tarafından saklanan parolaları ve çerezleri güvence altına almak için kullanılan şifreleme anahtarlarını çıkarmak için Veri Koruma API'sini (DPAPI) kullanır. Ayrıca, bu şifreleme anahtarlarını kırmak için Xaitax yardımcı programının gizli bir örneğini çalıştırır ve saklanan kimlik bilgilerine tam erişim sağlar. Chromium tabanlı tarayıcılardan kimlik doğrulama çerezlerini çıkarmak için, geleneksel güvenlik bariyerlerini atlayarak bir hata ayıklama portu aracılığıyla tarayıcının bir kopyasını başlatır.
ArcanaLoader’ın Ortaya Çıkışı
Saldırganlar taktiklerinin daha da geliştirilmesinde, oyun hilelerini indirmek için yazılım kılığına girmiş tehdit edici bir araç olan ArcanaLoader'ı tanıttılar. Hileler yerine, araç Arcane'i kullanarak kötü amaçlı yazılımın erişimini daha da genişletiyor. Kampanya öncelikli olarak Rusya, Belarus ve Kazakistan'daki kullanıcıları hedef alıyor.
Hızla Uyum Sağlayan Bir Siber Tehdit
Arcane kötü amaçlı yazılım kampanyası, saldırı yöntemlerini sürekli olarak geliştiren siber suçluların uyarlanabilirliğini vurgular. Arcane, kapsamlı veri toplama yetenekleri ve şifreli bilgileri çıkarmak için gelişmiş teknikleri nedeniyle öne çıkar. Bu operasyon, görünüşte zararsız oyun hilesi indirmelerinin bile ciddi güvenlik tehditlerine açılan bir kapı olabileceğinin hatırlatıcısı olarak hizmet eder.
