최근 발견된 정보 도용 악성코드 'Arcane'이 VPN 계정 자격증명, 게임 클라이언트, 메시징 앱, 웹 브라우저에 저장된 정보 등을 대량으로 훔치고 있습니다. 카스퍼스키에 따르면, 이 악성코드는 다크웹에서 수년간 유통되어 온 ' Arcane Stealer V'와는 관련이 없습니다. Arcane 악성코드 캠페인은 2024년 11월에 시작되어, 주요 페이로드 교체 등 여러 단계의 진화를 거쳤습니다. 이 악성코드의 운영자들은 모두 러시아어로 대화하고 공개 게시물을 작성하며, 카스퍼스키의 텔레메트리에 따르면 대부분의 Arcane 감염은 러시아, 벨라루스, 카자흐스탄에서 발생했습니다.
Arcane Stealer를 유포하는 캠페인은 게임 치트와 크랙을 홍보하는 유튜브 동영상에 의존하며, 사용자들을 속여 비밀번호로 보호된 아카이브를 다운로드하도록 유도합니다. 이 파일들은 'start.bat' 스크립트를 포함하고 있으며, 이 스크립트는 악성 실행 파일이 포함된 두 번째 비밀번호로 보호된 아카이브를 가져옵니다. 다운로드된 파일들은 Windows Defender의 SmartScreen 필터를 모든 드라이브 루트 폴더에 대해 예외 처리하거나, Windows 레지스트리 수정을 통해 완전히 끄게 합니다.
이전에는 VGS라는 다른 Stealer 악성코드를 사용했지만, 2024년 11월에 Arcane으로 전환했습니다. 카스퍼스키는 또한 유포 방법에 최근 변화를 발견했는데, 이는 인기 있는 게임 크랙과 치트를 위한 가짜 소프트웨어 다운로더인 'ArcanaLoader'의 사용을 포함합니다. ArcanaLoader는 유튜브와 디스코드에서 크게 홍보되었으며, 운영자들은 블로그나 동영상에서 이를 홍보하도록 콘텐츠 제작자들을 유료로 초대하기도 했습니다.
요약
- 새로 발견된 악성코드 '아르카인'이 VPN 계정, 게임 클라이언트, 메시징 앱, 웹 브라우저 정보 등을 대량으로 훔치고 있다.
- 아르카인 악성코드 캠페인은 2024년 11월에 시작되었으며, 대부분의 감염은 러시아, 벨라루스, 카자흐스탄에서 발생했다.
- 아르카인 스틸러를 유포하는 캠페인은 게임 치트와 크랙을 홍보하는 유튜브 동영상에 의존한다.
- 이전에는 VGS라는 다른 스틸러 악성코드를 사용했지만, 2024년 11월에 아르카인으로 전환했다.
- 아르카인의 유포 방법에는 인기 있는 게임 크랙과 치트를 위한 가짜 소프트웨어 다운로더인 '아르카나로더'의 사용이 포함되어 있다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.