Arcane Stealer Malware
Cyberkriminelle udnytter YouTube-videoer, der promoverer spilsnydekoder til at distribuere en nyligt identificeret malware kaldet Arcane. Denne tyveri-malware retter sig primært mod russisktalende brugere og er i stand til at indsamle en lang række følsomme data fra kompromitterede systemer.
Indholdsfortegnelse
Hvordan Arcane spredes
Angrebet begynder med links indlejret i YouTube-videoer, der fører intetanende brugere til adgangskodebeskyttede arkiver. Når de er pakket ud, indeholder disse arkiver en start.bat batchfil, som bruger PowerShell til at downloade og udføre yderligere filer. Under denne proces er Windows SmartScreen-beskyttelse deaktiveret for at undgå sikkerhedsforanstaltninger.
Malwaren udfører to nøglekomponenter: en cryptocurrency-miner og en tyver-malware. Oprindeligt blev tyveren identificeret som VGS, en variant af Phemedrone Stealer, men i november 2024 var angriberne skiftet til at bruge Arcane. Mens Arcane låner elementer fra andre stjælere, har forskere ikke knyttet det til nogen specifik malware-familie.
De arkane data stjæler
Arcane er designet til at udtrække en lang række følsomme oplysninger, herunder login-legitimationsoplysninger, adgangskoder, kreditkortoplysninger og cookies gemt i både Chromium- og Gecko-baserede browsere. Det samler også systemdata. Malwaren udtrækker konfigurationsfiler, indstillinger og kontodetaljer fra en lang række applikationer, herunder:
- VPN-klienter : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN
- Netværksklienter og hjælpeprogrammer : ngrok, Playit, Cyberduck, FileZilla, DynDNS
- Messaging-apps : ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber
- E-mail-klienter : Microsoft Outlook
- Spilklienter og -tjenester : Riot Client, Epic, Steam, Ubisoft Connect (tidligere Uplay), Roblox, Battle.net, forskellige Minecraft-klienter
- Krypto-tegnebøger : Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi
Ud over standard tyveri af legitimationsoplysninger, anvender Arcane sofistikerede teknikker til at forbedre dataindsamlingen. Den bruger Data Protection API (DPAPI) til at udtrække krypteringsnøgler, der bruges af browsere til at sikre lagrede adgangskoder og cookies. Derudover udfører den en skjult forekomst af Xaitax-værktøjet for at knække disse krypteringsnøgler, hvilket sikrer fuld adgang til gemte legitimationsoplysninger. For at udtrække autentificeringscookies fra Chromium-baserede browsere starter den en kopi af browseren gennem en fejlretningsport, der omgår traditionelle sikkerhedsbarrierer.
Fremkomsten af ArcanaLoader
I en yderligere udvikling af deres taktik har angriberne introduceret ArcanaLoader, et truende værktøj forklædt som software til at downloade spil-cheats. I stedet for snydekoder implementerer værktøjet Arcane, hvilket yderligere udvider malwarens rækkevidde. Kampagnen henvender sig primært til brugere i Rusland, Hviderusland og Kasakhstan.
En hurtigt tilpasset cybertrussel
Arcane malware-kampagnen fremhæver tilpasningsevnen hos cyberkriminelle, som løbende forfiner deres angrebsmetoder. Arcane skiller sig ud på grund af sine omfattende dataindsamlingsmuligheder og avancerede teknikker til at udtrække krypteret information. Denne handling tjener som en påmindelse om, at selv tilsyneladende harmløse spilsnyde-downloads kan være en gateway til alvorlige sikkerhedstrusler.
