Arcane Zararlı Yazılımı, Oyun Hileleri Üzerinden YouTube ve Discord Kullanıcılarını Hedef Alıyor
Kasım 2024’te ortaya çıkan Arcane adlı yeni bir bilgi hırsızı zararlı yazılımı, kullanıcıların VPN hesapları, oyun istemcileri, mesajlaşma uygulamaları ve tarayıcılarda saklanan bilgileri gibi geniş bir veri yelpazesini çalıyor. Kaspersky, bu zararlı yazılımın uzun süredir karanlık ağda dolaşan Arcane Stealer V ile herhangi bir bağlantısı veya kod benzerliği olmadığını belirtiyor.
Arcane Nasıl Yayılıyor?
Arcane, YouTube videoları ve Discord üzerinden oyun hileleri ve kırılmış yazılımlar sunarak kullanıcıları kandırıyor. Kullanıcılar, şifre korumalı bir arşiv dosyasını indirmeye yönlendiriliyor. Bu dosya, kötü amaçlı yürütülebilir dosyalar içeren ikinci bir şifreli arşiv dosyasını indiren bir ‘start.bat’ scripti barındırıyor.
Zararlı yazılım, Windows Defender’ın SmartScreen filtresini devre dışı bırakıyor veya kök dizinler için hariç tutma ekliyor. Arcane, daha önce VGS adlı başka bir bilgi hırsızı kullanıyordu ancak Kasım 2024’te Arcane’e geçiş yaptı.
Arcane Hangi Verileri Çalıyor?
Arcane, enfekte olan sistemdeki donanım ve yazılım bilgilerini topluyor. İşletim sistemi sürümü, CPU ve GPU detayları, yüklü antivirüs programları ve tarayıcılar gibi bilgileri çalıyor. Ayrıca, aşağıdaki uygulamalardan hesap verileri, ayarlar ve yapılandırma dosyalarını hedef alıyor:
- VPN İstemcileri: OpenVPN, NordVPN, ExpressVPN, Surfshark
- Ağ Araçları: FileZilla, Cyberduck, ngrok
- Mesajlaşma Uygulamaları: Discord, Telegram, Signal, Skype
- Oyun İstemcileri: Steam, Epic Games, Ubisoft Connect, Roblox
- Kripto Para Cüzdanları: Exodus, Electrum, Atomic, Guarda
- Tarayıcılar: Kayıtlı şifreler, oturum çerezleri (Gmail, YouTube, Twitter vb.)
Arcane, ekran görüntüleri alarak kullanıcının bilgisayarda ne yaptığını gösteren hassas bilgileri de ele geçiriyor. Ayrıca, kayıtlı Wi-Fi şifrelerini de çalıyor.
Kaspersky, Arcane’in dağıtım yönteminde son zamanlarda değişiklikler olduğunu tespit etti. Zararlı yazılım, ArcanaLoader adlı sahte bir yazılım indirici kullanıyor. Bu indirici, YouTube ve Discord üzerinden popüler oyun hileleri ve kırılmış yazılımlar olarak tanıtılıyor.
Arcane operatörleri, içerik üreticilerini bu yazılımı tanıtmaları için ücret karşılığında teşvik ediyor. Bu durum, zararlı yazılımın daha geniş kitlelere yayılmasını kolaylaştırıyor.
