Шкідлива програма Arcane Stealer
Кіберзлочинці використовують відео YouTube, які рекламують чіти в іграх, щоб поширювати нещодавно виявлену шкідливу програму під назвою Arcane. Це зловмисне програмне забезпечення-викрадач націлене насамперед на російськомовних користувачів і здатне збирати широкий спектр конфіденційних даних із скомпрометованих систем.
Зміст
Як поширюється Arcane
Атака починається з посилань, вбудованих у відео YouTube, які ведуть нічого не підозрюючих користувачів до архівів, захищених паролем. Після розпакування ці архіви містять пакетний файл start.bat, який використовує PowerShell для завантаження та виконання додаткових файлів. Під час цього процесу захист Windows SmartScreen вимкнено, щоб уникнути заходів безпеки.
Зловмисне програмне забезпечення виконує два ключових компоненти: майнер криптовалюти та зловмисне програмне забезпечення-викрадач. Спочатку викрадач був ідентифікований як VGS, варіант Phemedrone Stealer, але до листопада 2024 року зловмисники перейшли на використання Arcane. Незважаючи на те, що Arcane запозичує елементи від інших крадіїв, дослідники не пов’язують його з якимось конкретним сімейством шкідливих програм.
Таємна крадіжка даних
Arcane розроблено для отримання різноманітної конфіденційної інформації, включаючи облікові дані, паролі, дані кредитної картки та файли cookie, які зберігаються в браузерах на базі Chromium і Gecko. Він також збирає системні дані. Зловмисне програмне забезпечення витягує конфігураційні файли, налаштування та дані облікового запису з широкого спектру програм, зокрема:
- VPN-клієнти : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN
- Мережеві клієнти та утиліти : ngrok, Playit, Cyberduck, FileZilla, DynDNS
- Програми обміну повідомленнями : ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber
- Поштові клієнти : Microsoft Outlook
- Ігрові клієнти та сервіси : Riot Client, Epic, Steam, Ubisoft Connect (раніше Uplay), Roblox, Battle.net, різні клієнти Minecraft
- Крипто гаманці : Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi
Окрім стандартної крадіжки облікових даних, Arcane використовує складні методи для покращення збору даних. Він використовує API захисту даних (DPAPI) для отримання ключів шифрування, які використовуються браузерами для захисту збережених паролів і файлів cookie. Крім того, він запускає прихований екземпляр утиліти Xaitax для злому цих ключів шифрування, забезпечуючи повний доступ до збережених облікових даних. Щоб отримати автентифікаційні файли cookie з браузерів на основі Chromium, він запускає копію браузера через порт налагодження, минаючи традиційні бар’єри безпеки.
Поява ArcanaLoader
У подальшій еволюції своєї тактики зловмисники представили ArcanaLoader, загрозливий інструмент, замаскований під програмне забезпечення для завантаження чітів до ігор. Замість чітів інструмент розгортає Arcane, що ще більше розширює охоплення зловмисного програмного забезпечення. Кампанія в першу чергу орієнтована на користувачів з Росії, Білорусі та Казахстану.
Кіберзагроза, що швидко адаптується
Кампанія зловмисного програмного забезпечення Arcane підкреслює адаптивність кіберзлочинців, які постійно вдосконалюють свої методи атак. Arcane виділяється широкими можливостями збору даних і передовими методами вилучення зашифрованої інформації. Ця операція служить нагадуванням про те, що навіть, здавалося б, нешкідливі завантаження чітів ігор можуть стати шлюзом для серйозних загроз безпеці.
