یک بدافزار جدید و کشفشده به نام Arcane در حال سرقت حجم گستردهای از اطلاعات کاربران است، از جمله اطلاعات ورود به حسابهای VPN، کلاینتهای بازی، اپلیکیشنهای پیامرسان، و اطلاعات ذخیرهشده در مرورگرهای وب.
به گفتهی Kaspersky، این بدافزار هیچ ارتباطی یا کد مشترکی با Arcane Stealer V که سالها در دارک وب در حال انتشار بوده، ندارد.
کمپین بدافزار Arcane از نوامبر ۲۰۲۴ آغاز شده و در طول این مدت، تغییرات و بهروزرسانیهای متعددی داشته است، از جمله تغییراتی در payload اصلی آن (بخشی از بدافزار که وظایف مخرب را اجرا میکند).
افرادی که این بدافزار را کنترل میکنند، به زبان روسی ارتباط برقرار میکنند و دادههای کسپرسکی نشان میدهد که بیشترین آلودگیهای ناشی از این بدافزار در کشورهای روسیه، بلاروس و قزاقستان اتفاق افتاده است.
این موضوع بهویژه قابل توجه است، زیرا بیشتر عاملان تهدید مستقر در روسیه معمولاً از هدف قرار دادن کاربران داخل این کشور و سایر کشورهای مستقل مشترکالمنافع (CIS) خودداری میکنند تا از درگیری با مقامات محلی جلوگیری کنند.
زنجیرهی آلودگی Arcane Stealer
کمپینی که بدافزار Arcane Stealer را توزیع میکند، به ویدیوهای یوتیوبی متکی است که چیتها و کرکهای بازی را تبلیغ میکنند و کاربران را فریب میدهد تا روی لینکی کلیک کرده و یک فایل فشردهی رمزگذاریشده را دانلود کنند.
بدافزار ابتدا یک اسکریپت start.bat مخفیکاریشده را اجرا میکند. این اسکریپت سپس یک فایل فشردهی دیگر را دانلود میکند که رمزگذاری شده است و حاوی فایلهای اجرایی مخرب است.
بدافزار برای جلوگیری از شناسایی، تنظیمات امنیتی SmartScreen در ویندوز دیفندر را دستکاری میکند. این کار یا با اضافه کردن یک استثنا (که باعث میشود فایلهای مخرب اسکن نشوند) یا با غیرفعال کردن کامل این قابلیت از طریق Windows Registry انجام میشود.
قبلاً حملات از بدافزاری به نام VGS استفاده میکردند که نسخهای از تروجان Phemedrone بود، اما در نوامبر ۲۰۲۴ تصمیم به تغییر به بدافزار Arcane گرفتند.
کسپرسکی تغییراتی در نحوهی توزیع بدافزار شناسایی کرده است، که یکی از آنها استفاده از یک دانلودر تقلبی به نام ArcanaLoader است که به نظر میرسد برای دانلود کرکها و چیتهای بازیهای محبوب طراحی شده باشد.
ArcanaLoader بهطور گسترده در یوتیوب و دیسکورد تبلیغ شده است و اپراتورها از سازندگان محتوا خواستهاند تا این بدافزار را در وبلاگها یا ویدیوهای خود تبلیغ کنند و در ازای آن پول دریافت کنند.
دزدیدن حجم زیادی از دادهها
کسپرسکی معتقد است که بدافزار Arcane به دلیل سرقت حجم وسیع دادهها، در میان دیگر بدافزارهای سرقت اطلاعات، برجسته و متمایز است.
بدافزار ابتدا سیستم آلودهشده را شناسایی و اطلاعاتی از جمله نسخه سیستمعامل، مشخصات سختافزار (CPU و GPU)، آنتیویروس و مرورگرهای نصبشده را جمعآوری میکند.
نسخهی فعلی بدافزار هدفگذاری دادههای حساب، تنظیمات و فایلهای پیکربندی از اپلیکیشنهای زیر را انجام میدهد:
کلاینت های VPN : OpenVPN، Mullvad، NordVPN، IPVanish، Surfshark، Proton، hidemy.name، PIA، CyberGhost، ExpressVPN
ابزارهای شبکه: ngrok، Playit، Cyberduck، FileZilla، DynDNS
پیامرسانها: ICQ، Tox، Skype، Pidgin، Signal، Element، Discord، Telegram، Jabber، Viber
کلاینتهای ایمیل : Outlook
کلاینتهای بازی: Riot Client، Epic، Steam، Ubisoft Connect (قبلاً Uplay)، Roblox، Battle.net، کلاینتهای مختلف Minecraft
کیفپولهای ارز دیجیتال: Zcash، Armory، Bytecoin، Jaxx، Exodus، Ethereum، Electrum، Atomic، Guarda، Coinomi
مرورگرهای وب: ورودهای ذخیرهشده، پسوردها و کوکیها (برای Gmail، Google Drive، Google Photos، Steam، YouTube، Twitter، Roblox) از مرورگرهای مبتنی بر Chromium.
ویژگیهای بدافزار Arcane دارد که علاوه بر سرقت اطلاعات مختلف، از صفحهنمایش عکس میگیرد تا اطلاعات حساس از فعالیتهای کاربر را بدست آورد و همچنین پسوردهای ذخیرهشده برای شبکههای Wi-Fi را استخراج میکند.
در حال حاضر، بدافزار Arcane تنها به گروه خاصی از اهداف (کشورها یا موضوعات خاص) حمله میکند، اما احتمال دارد که اپراتورهای آن تصمیم بگیرند این دامنه را گسترش دهند و کشورهای یا موضوعات جدیدی را نیز هدف قرار دهند.
آلوده شدن به یک بدافزار سرقت اطلاعات میتواند فاجعهآمیز باشد، زیرا منجر به کلاهبرداری مالی، اخاذی و حملات آینده میشود. پاکسازی پس از این حملات زمان زیادی میبرد، زیرا باید پسوردهای تمام وبسایتها و برنامههایی که از آنها استفاده میکنید را تغییر داده و اطمینان حاصل کنید که به خطر نیفتادهاند.
بنابراین، کاربران باید همیشه خطرات دانلود ابزارهای کرکشده و دزدی را در نظر داشته باشند. خطرات ناشی از این ابزارها بسیار بالا است و باید بهطور کامل از آنها اجتناب شود.