Η πρόσφατη ανακάλυψη του κακόβουλου λογισμικού Arcane έχει προκαλέσει ανησυχία στην παγκόσμια κοινότητα κυβερνοασφάλειας. Το συγκεκριμένο infostealer στοχεύει στη συλλογή ευαίσθητων δεδομένων χρηστών, όπως διαπιστευτήρια VPN, gaming clients, εφαρμογές ανταλλαγής μηνυμάτων και πληροφορίες αποθηκευμένες σε web browsers.
Η προέλευση και η εξάπλωση του Arcane
Σύμφωνα με την Kaspersky, το Arcane δεν σχετίζεται με το παλαιότερο Arcane Stealer V, το οποίο κυκλοφορεί στο dark web εδώ και χρόνια. Η κακόβουλη εκστρατεία του Arcane ξεκίνησε τον Νοέμβριο του 2024 και έχει περάσει από διάφορα εξελικτικά στάδια, συμπεριλαμβανομένων αλλαγών στο κύριο payload.
Όλες οι συνομιλίες και οι δημόσιες αναρτήσεις των διαχειριστών του Arcane είναι στα ρωσικά, με την τηλεμετρία της Kaspersky να δείχνει ότι οι περισσότερες μολύνσεις εντοπίζονται σε Ρωσία, Λευκορωσία και Καζακστάν. Αυτό είναι αξιοσημείωτο, καθώς οι περισσότεροι Ρώσοι κυβερνοεγκληματίες αποφεύγουν να στοχεύουν χρήστες εντός της χώρας τους και άλλων χωρών της ΚΑΚ, για να αποφύγουν συγκρούσεις με τις τοπικές αρχές.
Η αλυσίδα μόλυνσης του Arcane stealer
Η διανομή του Arcane Stealer βασίζεται σε βίντεο στο YouTube που προωθούν game cheats και cracks, παραπλανώντας τους χρήστες να κατεβάσουν ένα password-protected αρχείο. Αυτά τα αρχεία περιέχουν ένα έντονα obfuscated ‘start.bat’ script που κατεβάζει ένα δεύτερο password-protected αρχείο με κακόβουλα εκτελέσιμα αρχεία.
Τα κατεβασμένα αρχεία προσθέτουν μια εξαίρεση στο Windows Defender’s SmartScreen filter για όλους τους ριζικούς φακέλους του δίσκου ή το απενεργοποιούν εντελώς μέσω τροποποιήσεων στο Windows Registry.
Προηγουμένως, οι επιθέσεις χρησιμοποιούσαν μια άλλη οικογένεια stealer malware που ονομάζεται VGS, μια ανανεωμένη έκδοση του Phemedrone trojan, αλλά μεταπήδησαν στο Arcane τον Νοέμβριο του 2024.
Η Kaspersky εντόπισε επίσης πρόσφατες αλλαγές στη μέθοδο διανομής, συμπεριλαμβανομένης της χρήσης ενός ψεύτικου software downloader, υποτίθεται για δημοφιλή game cracks και cheats, με την ονομασία ArcanaLoader.
Το ArcanaLoader έχει προωθηθεί έντονα σε YouTube και Discord, με τους διαχειριστές να προσκαλούν ακόμη και δημιουργούς περιεχομένου να το προωθήσουν στα blogs/βίντεό τους με αμοιβή.
Η εκτεταμένη κλοπή δεδομένων από το Arcane
Το Arcane ξεχωρίζει στον χώρο των infostealers λόγω της ευρείας κλοπής δεδομένων που πραγματοποιεί. Αρχικά, προφίλάρει το μολυσμένο σύστημα, κλέβοντας λεπτομέρειες υλικού και λογισμικού, όπως έκδοση λειτουργικού συστήματος, λεπτομέρειες CPU και GPU, εγκατεστημένα antivirus και browsers.
Η τρέχουσα έκδοση του malware στοχεύει δεδομένα λογαριασμών, ρυθμίσεις και αρχεία διαμόρφωσης από τις ακόλουθες εφαρμογές:
- VPN clients: OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN
- Εργαλεία δικτύου: ngrok, Playit, Cyberduck, FileZilla, DynDNS
- Εφαρμογές ανταλλαγής μηνυμάτων: ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber
- Email clients: Outlook
- Gaming clients: Riot Client, Epic, Steam, Ubisoft Connect (πρώην Uplay), Roblox, Battle.net, διάφοροι Minecraft clients
- Πορτοφόλια κρυπτονομισμάτων: Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi
- Web browsers: Αποθηκευμένα logins, κωδικοί πρόσβασης και cookies (για Gmail, Google Drive, Google Photos, Steam, YouTube, Twitter, Roblox) από browsers βασισμένους στο Chromium.
Επιπλέον, το Arcane καταγράφει screenshots που μπορούν να αποκαλύψουν ευαίσθητες πληροφορίες σχετικά με τις δραστηριότητες του χρήστη στον υπολογιστή και ανακτά αποθηκευμένους κωδικούς πρόσβασης δικτύων Wi-Fi.
Συνέπειες και μέτρα προστασίας
Η μόλυνση με ένα infostealer όπως το Arcane μπορεί να οδηγήσει σε οικονομική απάτη, εκβιασμό και μελλοντικές επιθέσεις. Η αποκατάσταση μετά από τέτοιες επιθέσεις απαιτεί σημαντικό χρόνο, καθώς οι χρήστες πρέπει να αλλάξουν τους κωδικούς πρόσβασης σε κάθε ιστότοπο και εφαρμογή που χρησιμοποιούν και να διασφαλίσουν ότι δεν έχουν παραβιαστεί.
Επομένως, οι χρήστες θα πρέπει πάντα να λαμβάνουν υπόψη τους κινδύνους από τη λήψη μη υπογεγραμμένων πειρατικών εργαλείων και cheats. Ο κίνδυνος από αυτά τα εργαλεία είναι πολύ υψηλός και θα πρέπει να αποφεύγονται εντελώς.
Πηγές: CyberInsider, BleepingComputer
