غش لعبة YouTube نشر البرامج الضارة في Arcane Stealer للمستخدمين الناطقين بالروسية
يتم استخدام مقاطع فيديو على YouTube التي تروج لخداع اللعبة لتقديم برامج ضارة سارقة غير موثقة مسبقًا غامضة من المحتمل أن تستهدف المستخدمين الناطقين بالروسية.
“ما يثير الاهتمام في هذه البرامج الضارة هو مقدار ما يجمعه” ، Kaspersky قال في تحليل. “إنه يمسك بمعلومات الحساب من عملاء VPN والألعاب ، وجميع أنواع أدوات الشبكة مثل Ngrok و Playit و Cyberduck و Filezilla و Dyndns.”
تتضمن سلاسل الهجوم مشاركة روابط إلى أرشيف محمي بكلمة مرور على مقاطع فيديو YouTube ، والتي ، عند فتحها ، تقوم بفك ملف بدعم بدء. BATH مسؤول عن استرداد ملف أرشيف آخر عبر PowerShell.
يستخدم ملف الدُفعات بعد ذلك PowerShell لإطلاق اثنين من المناسبات التنفيذية المضمنة في الأرشيف الذي تم تنزيله حديثًا ، مع تعطيل حماية Smartscreen Windows وكل مجلد جذر Drive إلى استثناءات مرشح SmartScreen.
من بين الثنائيات ، أحدهما منجم عملة مشفرة والآخر هو سرقة يطلق عليها اسم VGS وهو نوع من البرمجيات الخبيثة لـ Phemedrone Stealer. اعتبارًا من نوفمبر 2024 ، تم العثور على الهجمات لتحل محل VGS بـ Arcane.
وأشارت شركة الأمن السيبراني الروسية إلى أن “على الرغم من أن الكثير منها تم استعارته من السارين الآخرين ، إلا أننا لم نتمكن من أن ننسبه إلى أي من العائلات المعروفة”.
إلى جانب سرقة بيانات اعتماد تسجيل الدخول وكلمات المرور وبيانات بطاقة الائتمان وملفات تعريف الارتباط من مختلف المتصفحات المستندة إلى الكروم و Gecko ، تم تجهيز Arcane لحصد بيانات النظام الشاملة بالإضافة إلى ملفات التكوين والإعدادات ومعلومات الحساب من عدة تطبيقات مثل التالية-
- عملاء VPN: OpenVPN ، Mullvad ، Nordvpn ، Ipvanish ، Surfshark ، Proton ، Hidemy.name ، PIA ، Cyberghost ، و Expressvpn
- عملاء الشبكة والمرافق: Ngrok ، Playit ، Cyberduck ، Filezilla ، و Dyndns
- تطبيقات المراسلة: ICQ و Tox و Skype و Pidgin و Signal و Element و Discord و Telegram و Jabber و Viber
- عملاء البريد الإلكتروني: Microsoft Outlook
- عملاء الألعاب والخدمات: عميل Riot ، Epic ، Steam ، Ubisoft Connect (Ex-Uplay) ، Roblox ، Battle.net ، ومختلف عملاء Minecraft
- محافظ التشفير: Zcash ، Armory ، Bytecoin ، Jaxx ، Exodus ، Ethereum ، Electum ، Atomic ، Guarda ، and Coinomi
علاوة على ذلك ، تم تصميم Arcane لالتقاط لقطات من الجهاز المصاب ، وتعداد عمليات التشغيل ، وقائمة شبكات Wi-Fi المحفوظة وكلمات المرور الخاصة بها.
وقال كاسبرسكي: “معظم المتصفحات تولد مفاتيح فريدة لتشفير البيانات الحساسة التي تخزنها ، مثل تسجيل الدخول ، وكلمات المرور ، ملفات تعريف الارتباط ، وما إلى ذلك”. “يستخدم Arcane واجهة برمجة تطبيقات حماية البيانات (DPAPI) للحصول على هذه المفاتيح ، والتي هي نموذجية للسرقة.”
“لكن Arcane يحتوي أيضًا على ملف قابل للتنفيذ من الأداة المساعدة Xaitax ، والذي يستخدمه لكسر مفاتيح المتصفح. للقيام بذلك ، يتم إسقاط الأداة المساعدة على القرص وإطلاقها سراً ، ويحصل السارق على جميع المفاتيح التي يحتاجها من إخراج وحدة التحكم الخاصة بها.”
إضافة إلى قدراتها ، تنفذ البرامج الضارة Stealer طريقة منفصلة لاستخراج ملفات تعريف الارتباط من المتصفحات القائمة على الكروم التي تطلق نسخة من المتصفح من خلال منفذ تصحيح.
قامت الممثلون للتهديدات غير المحددة وراء العملية منذ ذلك الحين بتوسيع عروضهم لتشمل محملًا يدعى Arcanaloader الذي يُقصد به ظاهريًا تنزيل غش اللعبة ، ولكنه يقدم البرامج الضارة للسرقة بدلاً من ذلك. برزت روسيا وبيلاروسيا وكازاخستان كأهداف رئيسية للحملة.
وقال كاسبيركسي: “ما يثير الاهتمام في هذه الحملة بالذات هو أنه يوضح مدى مرونة مجرمي الإنترنت ، ويقومون دائمًا بتحديث أدواتهم وطرق توزيعها”. “علاوة على ذلك ، فإن السارق الغامق نفسه رائع بسبب كل البيانات المختلفة التي يجمعها والحيل التي يستخدمها لاستخراج المعلومات التي يريدها المهاجمون.”
إرسال التعليق