Malware Arcane Stealer
Kyberzločinci využívají videa na YouTube, která propagují herní cheaty, k distribuci nově identifikovaného malwaru s názvem Arcane. Tento zlodějský malware se primárně zaměřuje na rusky mluvící uživatele a je schopen shromáždit širokou škálu citlivých dat z kompromitovaných systémů.
Obsah
Jak se Arcane šíří
Útok začíná odkazy vloženými do videí na YouTube, které vedou nic netušící uživatele k archivům chráněným heslem. Po extrahování tyto archivy obsahují dávkový soubor start.bat, který používá PowerShell ke stažení a spuštění dalších souborů. Během tohoto procesu je ochrana Windows SmartScreen deaktivována, aby se vyhnula bezpečnostním opatřením.
Malware spouští dvě klíčové komponenty: těžař kryptoměn a zlodějský malware. Zpočátku byl zloděj identifikován jako VGS, varianta Phemedrone Stealer, ale v listopadu 2024 útočníci přešli na používání Arcane. Zatímco Arcane si půjčuje prvky od jiných zlodějů, výzkumníci jej nespojili s žádnou konkrétní rodinou malwaru.
The Data Arcane Krade
Arcane je navržen tak, aby extrahoval širokou škálu citlivých informací, včetně přihlašovacích údajů, hesel, údajů o kreditních kartách a souborů cookie uložených v prohlížečích založených na Chromium a Gecko. Shromažďuje také systémová data. Malware extrahuje konfigurační soubory, nastavení a podrobnosti o účtu z celé řady aplikací, včetně:
- VPN klienti : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN
- Síťoví klienti a nástroje : ngrok, Playit, Cyberduck, FileZilla, DynDNS
- Aplikace pro zasílání zpráv : ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber
- E-mailoví klienti : Microsoft Outlook
- Herní klienti a služby : Riot Client, Epic, Steam, Ubisoft Connect (dříve Uplay), Roblox, Battle.net, různí Minecraft klienti
- Krypto peněženky : Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi
Kromě standardní krádeže přihlašovacích údajů využívá Arcane sofistikované techniky ke zlepšení sběru dat. Využívá rozhraní Data Protection API (DPAPI) k extrakci šifrovacích klíčů používaných prohlížeči k zabezpečení uložených hesel a souborů cookie. Kromě toho spouští skrytou instanci nástroje Xaitax k prolomení těchto šifrovacích klíčů a zajišťuje plný přístup k uloženým přihlašovacím údajům. Aby bylo možné extrahovat ověřovací soubory cookie z prohlížečů založených na Chromiu, spustí kopii prohlížeče prostřednictvím portu ladění, čímž obchází tradiční bezpečnostní bariéry.
Vznik ArcanaLoader
V dalším vývoji své taktiky útočníci představili ArcanaLoader, hrozivý nástroj maskovaný jako software pro stahování herních cheatů. Namísto cheatů tento nástroj nasazuje Arcane, čímž dále rozšiřuje dosah malwaru. Kampaň primárně cílí na uživatele v Rusku, Bělorusku a Kazachstánu.
Rychle se přizpůsobující kybernetická hrozba
Malwarová kampaň Arcane zdůrazňuje přizpůsobivost kyberzločinců, kteří neustále zdokonalují své metody útoků. Arcane vyniká svými rozsáhlými možnostmi sběru dat a pokročilými technikami pro extrakci zašifrovaných informací. Tato operace slouží jako připomínka, že i zdánlivě neškodné stahování herních cheatů může být vstupní branou k vážným bezpečnostním hrozbám.
