Programari maliciós Arcane Stealer

Els ciberdelinqüents estan aprofitant vídeos de YouTube que promouen trucs de jocs per distribuir un programari maliciós recentment identificat anomenat Arcane. Aquest programari maliciós robador s'adreça principalment als usuaris de parla russa i és capaç de recopilar una àmplia gamma de dades sensibles de sistemes compromesos.

Com es propaga Arcane

L'atac comença amb enllaços incrustats en vídeos de YouTube que porten usuaris desprevinguts a arxius protegits amb contrasenya. Un cop extrets, aquests arxius contenen un fitxer per lots start.bat, que utilitza PowerShell per descarregar i executar fitxers addicionals. Durant aquest procés, la protecció de Windows SmartScreen està desactivada per eludir les mesures de seguretat.

El programari maliciós executa dos components clau: un miner de criptomoneda i un programari maliciós robador. Inicialment, el lladre es va identificar com a VGS, una variant del Phhemedrone Stealer, però el novembre de 2024, els atacants havien passat a utilitzar Arcane. Tot i que Arcane pren en préstec elements d'altres lladres, els investigadors no l'han vinculat a cap família específica de programari maliciós.

Els robatoris d’Arcan de dades

Arcane està dissenyat per extreure una gran varietat d'informació sensible, incloses les credencials d'inici de sessió, les contrasenyes, els detalls de la targeta de crèdit i les galetes emmagatzemades tant en navegadors basats en Chromium com en Gecko. També recull dades del sistema. El programari maliciós extreu fitxers de configuració, paràmetres i detalls del compte d'una àmplia gamma d'aplicacions, com ara:

• Clients VPN : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN
• Clients de xarxa i utilitats : ngrok, Playit, Cyberduck, FileZilla, DynDNS
• Aplicacions de missatgeria : ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber
• Clients de correu electrònic : Microsoft Outlook
• Clients i serveis de jocs : Riot Client, Epic, Steam, Ubisoft Connect (abans Uplay), Roblox, Battle.net, diversos clients de Minecraft
• Carteres de criptografia : Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi

Més enllà del robatori de credencials estàndard, Arcane utilitza tècniques sofisticades per millorar la recollida de dades. Utilitza l'API de protecció de dades (DPAPI) per extreure les claus de xifratge utilitzades pels navegadors per protegir les contrasenyes i les galetes emmagatzemades. A més, executa una instància oculta de la utilitat Xaitax per trencar aquestes claus de xifratge, garantint l'accés complet a les credencials emmagatzemades. Per extreure galetes d'autenticació dels navegadors basats en Chromium, llança una còpia del navegador a través d'un port de depuració, evitant les barreres de seguretat tradicionals.

L’aparició d’ArcanaLoader

En una evolució posterior de les seves tàctiques, els atacants han introduït ArcanaLoader, una eina amenaçadora disfressada de programari per descarregar trucs de jocs. En lloc de trampes, l'eina desplega Arcane, ampliant encara més l'abast del programari maliciós. La campanya s'adreça principalment als usuaris de Rússia, Bielorússia i Kazakhstan.

Una amenaça cibernètica que s’adapta ràpidament

La campanya de programari maliciós Arcane destaca l'adaptabilitat dels ciberdelinqüents que perfeccionen contínuament els seus mètodes d'atac. Arcane destaca per les seves àmplies capacitats de recollida de dades i tècniques avançades per extreure informació xifrada. Aquesta operació serveix com a recordatori que fins i tot les descàrregues de trucs de jocs aparentment inofensius poden ser una porta d'entrada a greus amenaces de seguretat.