Yeni Arcane Infostealer YouTube, Discord Kullanıcıları Oyun Hileleri ile Enfects

Arcane adlı yeni keşfedilen bilgi çalma kötü amaçlı yazılımları, VPN hesap kimlik bilgileri, oyun istemcileri, mesajlaşma uygulamaları ve web tarayıcılarında depolanan bilgiler dahil olmak üzere kapsamlı kullanıcı verileri çalıyor.

Kaspersky’ye göre, kötü amaçlı yazılımın yıllardır karanlık ağda dolaşan gizli Stealer V ile örtüşen hiçbir bağlantısı veya kodu yok.

Arcane kötü amaçlı yazılım kampanyası, birincil yük değiştirmeleri de dahil olmak üzere çeşitli evrimsel adımlardan geçerek Kasım 2024’te başladı.

Operatörleri tarafından yapılan tüm konuşmalar ve halka açık görevler Rusya’da, Kaspersky’nin telemetrisi, çoğu gizli enfeksiyonun Rusya, Belarus ve Kazakistan’da olduğunu gösteriyor.

Rusya’da bulunan çoğu tehdit aktörünün genellikle yerel yetkililerle yapılan çatışmaları önlemek için ülke ve diğer cis ülkeleri içindeki kullanıcıları hedeflemekten kaçındığı için bu özellikle dikkat çekicidir.

Gizli stealer enfeksiyon zinciri

Arcane Stealer’ın dağıtan kampanya, oyun hilelerini ve çatlaklarını teşvik eden YouTube videolarına dayanıyor ve kullanıcıları şifre korumalı bir arşiv indirmek için bir bağlantıyı takip ediyor.

Bu dosyalar, kötü niyetli yürütülebilir ürünlerle ikinci bir şifre korumalı arşiv getiren ağır bir şekilde gizlenmiş bir ‘start.bat’ komut dosyası içeriyordu.

İndirilen dosyalar, tüm sürücü kök klasörleri için Windows Defender’ın SmartScreen filtresine bir hariç tutma ekler veya Windows kayıt defteri değişiklikleri aracılığıyla tamamen kapatır.

Daha önce, saldırılar Phemedrone Trojan’ın yeniden markalı bir versiyonu olan VGS adlı başka bir Stealer kötü amaçlı yazılım ailesi kullandı, ancak Kasım 2024’te Arcane’ye geçtiler.

Kaspersky ayrıca, Arcanaloader adlı popüler oyun çatlakları ve hileleri için sahte bir yazılım indiricisinin kullanımı da dahil olmak üzere dağıtım yönteminde son değişiklikler buldu.

Arcanaloader, YouTube ve Discord’da yoğun bir şekilde tanıtıldı, operatörler içerik yaratıcılarını bloglarında/videolarında bir ücret karşılığında tanıtmaya davet ediyorlar.

Bir ton veri çalmak

Kaspersky, Arcane’nin geniş veri hırsızlığının onu kalabalık infostealer alanında öne çıkardığını söylüyor.

İlk olarak, enfekte olmuş sistemi profiller, işletim sistemi sürümü, CPU ve GPU detayları, yüklü antivirüs ve tarayıcılar gibi donanım ve yazılım ayrıntılarını çalıyor.

Kötü amaçlı yazılımın geçerli sürümü, aşağıdaki uygulamalardan hesap verilerini, ayarlarını ve yapılandırma dosyalarını hedefler:

• VPN Müşterileri: Openvpn, mullvad, nordvpn, ipvanish, surfshark, proton, hidemy.name, pia, cyberghost, expressvpn
• Ağ Araçları: Ngrok, Playit, CyberDuck, FileZilla, Dyndns
• Haberciler: ICQ, Tox, Skype, pidgin, sinyal, eleman, anlaşmazlık, telgraf, jabber, viber
• E -posta Müşterileri: Outlook
• Oyun Müşterileri: Riot Client, Epic, Steam, Ubisoft Connect (eski Uç), Roblox, Battle.net, Çeşitli Minecraft İstemcileri
• Kripto para cüzdanları: Zcash, Armory, Bytecoin, XX, Çıkış, Ethereum, Electrum, Atomic, Guarda, Coinomi
• Web tarayıcıları: Krom tabanlı tarayıcılardan kaydedilmiş girişler, şifreler ve çerezler (Gmail, Google Drive, Google Fotoğraflar, Steam, YouTube, Twitter, Roblox için).

Arcane ayrıca bilgisayarda ne yaptığınız hakkında hassas bilgileri ortaya çıkarabilen ekran görüntüleri de yakalar ve kaydedilmiş Wi-Fi ağ şifrelerini alır.

Arcane şu anda belirli bir hedeflemeye sahip olsa da, operatörleri ek ülkeleri veya temaları kapsayacak şekilde genişletebilir.

Bir Infostealer ile enfekte olmak yıkıcıdır, bu da mali sahtekarlık, gasp ve gelecekteki saldırılara yol açar. Bu saldırılardan sonra temizlemek, kullandığınız her web sitesinde ve uygulamadaki şifreleri değiştirmeniz ve tehlikeye girmediğinden emin olmanız gerektiğinden büyük bir zaman lavabosudur.

Bu nedenle, kullanıcılar her zaman imzasız korsan ve hile araçlarını indirme risklerini akılda tutmalıdır. Bu araçlardan elde edilen risk çok yüksektir ve tamamen önlenmelidir.