Oyun hilelerini tanıtan YouTube videoları, daha önce belgelenmemiş bir stealer kötü amaçlı yazılım sunmak için kullanılıyor. Gizli Muhtemelen Rusça konuşan kullanıcıları hedeflemek.
“Bu kötü amaçlı yazılım hakkında ilginç olan şey, ne kadar topladığıdır,” Kaspersky söz konusu bir analizde. “VPN ve oyun istemcilerinden hesap bilgilerini ve NGROK, Playit, CyberDuck, Filezilla ve Dyndns gibi her türlü ağ programı alır.”
Saldırı zincirleri, açıldığında PowerShell üzerinden başka bir arşiv dosyasını almaktan sorumlu bir start.bat toplu dosyasını açan YouTube videolarındaki şifre korumalı bir arşivin bağlantılarını paylaşmayı içerir.
Toplu iş dosyası daha sonra PowerShell’i yeni indirilen arşive gömülü iki yürütülebilir dosyayı piyasaya sürerken kullanırken, Windows SmartScreen korumalarını ve her sürücü kök klasörünü akıllı ekran filtresi istisnalarına devre dışı bırakır.
İki ikili dosyadan biri bir kripto para madenci, diğeri Phemedrone Stealer kötü amaçlı yazılımların bir çeşidi olan bir VG’ler olarak adlandırılan bir stealer. Kasım 2024 itibariyle saldırıların VG’lerin yerini Arcane ile değiştirdiği bulunmuştur.
Rus siber güvenlik şirketi, “Diğer stealers’tan ödünç alınmasına rağmen, bunu bilinen ailelere bağlayamadık.”
Arcane, giriş bilgilerini, şifreleri, kredi kartı verilerini ve çeşitli krom ve Gecko tabanlı tarayıcılardan çerezleri çalmanın yanı sıra, aşağıdaki gibi çeşitli uygulamalardan yapılandırma dosyaları, ayarlar ve hesap bilgileri hasat etmek için donatılmıştır-
- VPN Müşterileri: OpenVPN, Mullvad, Nordvpn, Ipvanish, Surfshark, Proton, Hidemy.name, PIA, Cyberghost ve ExpressVPN
- Ağ müşterileri ve yardımcı programları: Ngrok, Playit, CyberDuck, Filezilla ve Dyndns
- Mesajlaşma Uygulamaları: ICQ, Tox, Skype, Pidgin, Sinyal, Element, Discord, Telegram, Jabber ve Viber
- E -posta İstemcileri: Microsoft Outlook
- Oyun Müşterileri ve Hizmetleri: Riot Müşteri, Epic, Steam, Ubisoft Connect (eski Ubisoft), Roblox, Battle.net ve çeşitli Minecraft istemcileri
- Kripto Cüzdanları: Zcash, Armory, Bytecoin, Jaxx, Çıkış, Ethereum, Electrum, Atomic, Guarda ve Coinomi
Ayrıca Arcane, enfekte olmuş cihazın ekran görüntülerini almak, çalışma işlemlerini numaralandırmak ve kaydedilmiş Wi-Fi ağlarını ve şifrelerini listelemek için tasarlanmıştır.
Kaspersky, “Çoğu tarayıcı, oturum açma, şifreler, çerezler vb. Gibi sakladıkları hassas verileri şifrelemek için benzersiz anahtarlar üretiyor.” Dedi. “Arcane, çalıcılara özgü olan bu anahtarları elde etmek için Veri Koruma API’sını (DPAPI) kullanır.”
“Ancak Arcane ayrıca, tarayıcı anahtarlarını kırmak için kullandığı Xaitax yardımcı programının yürütülebilir bir dosyasını da içerir. Bunu yapmak için yardımcı program diske bırakılır ve gizlice başlatılır ve stealer konsol çıkışından ihtiyaç duyduğu tüm anahtarları alır.”
Yeteneği ekleyerek, Stealer kötü amaçlı yazılım, bir hata ayıklama bağlantı noktası üzerinden tarayıcının bir kopyasını başlatan krom tabanlı tarayıcılardan çerezleri çıkarmak için ayrı bir yöntem uygular.
Operasyonun arkasındaki tanımlanamayan tehdit aktörleri, tekliflerini Arcanaloader adlı bir yükleyici içerecek şekilde genişletti ve bu da oyun hilelerini indirmek istedi, ancak bunun yerine stealer kötü amaçlı yazılım sundu. Rusya, Belarus ve Kazakistan kampanyanın temel hedefleri olarak ortaya çıktı.
Kasperksy, “Bu özel kampanya hakkında ilginç olan şey, siber suçluların ne kadar esnek olduğunu, araçlarını her zaman güncellediğini ve onları dağıtma yöntemlerini göstermesidir.” Dedi. Diyerek şöyle devam etti: “Ayrıca, grubun topladığı tüm farklı veriler ve saldırganların istediği bilgileri çıkarmak için kullandığı püf noktaları nedeniyle büyüleyici.”
