Arcane olarak bilinen ve oyun hilelerini tanıtan YouTube videoları aracılığıyla dağıtılan sofistike bir stealer içeren yeni bir kötü amaçlı yazılım kampanyası ortaya çıktı.
Bu kampanya, kötü amaçlı yazılımları yaymak için popüler platformlardan yararlanmaya devam eden siber suçluların gelişen taktiklerini vurgulamaktadır.
Arcane Stealer, VPN istemcileri, ağ yardımcı programları ve tarayıcılar dahil olmak üzere çok çeşitli uygulamaları hedefleyen kapsamlı veri toplama özellikleri ile dikkat çekiyor.
Dağıtım ve işlevsellik
Dağıtım yöntemi, şifre korumalı arşivlere bağlantılar içeren YouTube videolarıyla başlar.
Paketlendikten sonra, bu arşivler PowerShell’i kullanarak ek kötü amaçlı yazılım bileşenlerini indiren bir toplu iş dosyası içerir.
Toplu iş dosyası ayrıca akıllı ekran istisnalarına tüm sürücü köklerini ekleyerek ve akıllı ekstreyi tamamen devre dışı bırakmak için kayıt defteri anahtarlarını değiştirerek Windows SmartScreen’i algılamadan kaçınmak için devre dışı bırakır.
Kötü amaçlı yazılım daha sonra, bir madenci ve Arcane Stealer’ın kendisini içeren indirilen arşivden yürütülebilir dosyaları başlatır.
Arcane özellikle çeşitli uygulamalardan hassas bilgilerin çıkarılmasında beceriklidir.
SecureList raporuna göre, OpenVPN, NordVPN ve ExpressVPN gibi VPN istemcilerinin yanı sıra Ngrok ve Filezilla gibi ağ yardımcı programlarını hedefliyor.
Ayrıca, Veri Koruma API’sını (DPAPI) ve tarayıcı şifreleme anahtarlarını çatlatmak için Xaitax adlı yürütülebilir bir yardımcı programı kullanarak, krom ve Gecko tabanlı tarayıcılar da dahil olmak üzere tarayıcılardan oturum açma kimlik bilgilerini çalar.
Arcane ayrıca Gmail ve Steam gibi popüler web sitelerinden kurabiyeler çıkarmak için uzaktan kötü niyetli bir port argümanı olan tarayıcıları gizlice başlatır.
Arcanaloader ve hedef kitle
Arcane keşfinin ardından araştırmacılar, arcanaloader tanıtımı ile dağıtım taktiklerinde bir değişim gözlemlediler.
YouTube kanallarında ilan edilen bu yükleyici, popüler çatlakları ve hileleri indirmeyi vaat ediyor, ancak aslında kötü amaçlı yazılım sunuyor.
Yükleyici, kullanıcıların güncellemelere ve desteğe erişebileceği bir Discord sunucusuna bağlantı içerir.
Saldırganlar öncelikle, iletişimlerinde kullanılan dil ve kurbanların coğrafi dağılımının, özellikle Rusya, Belarus ve Kazakistan’da olduğu gibi, Rusça konuşan bir kitleyi hedefliyor.
Kampanya, kötü amaçlı yazılımları yaymak için popüler platformları kullanmada siber suçluların uyarlanabilirliğinin altını çiziyor.
Bu tür tehditlere karşı korumak için, kullanıcılar şüpheli yazılım promosyonlarına dikkat etmeli ve gelişen kötü amaçlı yazılımları tespit etmek için sağlam güvenlik yazılımı kullanmalıdır.
Arcane Stealer’ın geniş bir veri yelpazesi toplama yeteneği, çevrimiçi faaliyetlerde uyanıklık ihtiyacını vurgulayarak önemli bir tehdit haline getiriyor.
Tehdit İstihbarat Araması ile Gerçek Dünyanın Kötü Amaçlı Bağlantıları ve Kimlik Yardım Saldırılarını Araştırın-Ücretsiz Deneyin