Malware ladro arcano

I criminali informatici stanno sfruttando i video di YouTube che promuovono trucchi per i giochi per distribuire un malware appena identificato chiamato Arcane. Questo malware stealer prende di mira principalmente gli utenti di lingua russa ed è in grado di raccogliere un'ampia gamma di dati sensibili da sistemi compromessi.

Come si diffonde l’arcano

L'attacco inizia con link incorporati nei video di YouTube che conducono gli utenti ignari ad archivi protetti da password. Una volta estratti, questi archivi contengono un file batch start.bat, che usa PowerShell per scaricare ed eseguire file aggiuntivi. Durante questo processo, la protezione di Windows SmartScreen viene disabilitata per eludere le misure di sicurezza.

Il malware esegue due componenti chiave: un miner di criptovaluta e un malware stealer. Inizialmente, lo stealer è stato identificato come VGS, una variante del Phemedrone Stealer, ma entro novembre 2024, gli aggressori sono passati a usare Arcane. Mentre Arcane prende in prestito elementi da altri stealer, i ricercatori non lo hanno collegato a nessuna specifica famiglia di malware.

I dati arcani rubano

Arcane è progettato per estrarre un'ampia varietà di informazioni sensibili, tra cui credenziali di accesso, password, dettagli di carte di credito e cookie memorizzati nei browser basati su Chromium e Gecko. Raccoglie anche dati di sistema. Il malware estrae file di configurazione, impostazioni e dettagli di account da un'ampia gamma di applicazioni, tra cui:

• Client VPN : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN
• Client e utilità di rete : ngrok, Playit, Cyberduck, FileZilla, DynDNS
• Applicazioni di messaggistica : ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber
• Client di posta elettronica : Microsoft Outlook
• Client e servizi di gioco : Riot Client, Epic, Steam, Ubisoft Connect (in precedenza Uplay), Roblox, Battle.net, vari client Minecraft
• Portafogli cripto : Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi

Oltre al furto di credenziali standard, Arcane impiega tecniche sofisticate per migliorare la raccolta dati. Utilizza la Data Protection API (DPAPI) per estrarre le chiavi di crittografia utilizzate dai browser per proteggere le password e i cookie archiviati. Inoltre, esegue un'istanza nascosta dell'utilità Xaitax per decifrare queste chiavi di crittografia, garantendo l'accesso completo alle credenziali archiviate. Per estrarre i cookie di autenticazione dai browser basati su Chromium, avvia una copia del browser tramite una porta di debug, aggirando le tradizionali barriere di sicurezza.

L’emergere di ArcanaLoader

In un'ulteriore evoluzione delle loro tattiche, gli aggressori hanno introdotto ArcanaLoader, uno strumento minaccioso camuffato da software per scaricare trucchi per giochi. Invece di trucchi, lo strumento distribuisce Arcane, espandendo ulteriormente la portata del malware. La campagna prende di mira principalmente utenti in Russia, Bielorussia e Kazakistan.

Una minaccia informatica in rapida evoluzione

La campagna malware Arcane evidenzia l'adattabilità dei criminali informatici che perfezionano continuamente i loro metodi di attacco. Arcane si distingue per le sue ampie capacità di raccolta dati e le tecniche avanzate per l'estrazione di informazioni crittografate. Questa operazione serve a ricordare che anche i download di trucchi di gioco apparentemente innocui possono essere un passaggio verso gravi minacce alla sicurezza.