Arcane Stealer Malware
Nettkriminelle bruker YouTube-videoer som fremmer spilljuksekoder for å distribuere en nylig identifisert skadelig programvare kalt Arcane. Denne tyveriske skadevare retter seg først og fremst mot russisktalende brukere og er i stand til å samle et omfattende utvalg av sensitive data fra kompromitterte systemer.
Innholdsfortegnelse
Hvordan Arcane sprer seg
Angrepet begynner med lenker innebygd i YouTube-videoer som leder intetanende brukere til passordbeskyttede arkiver. Når de er pakket ut, inneholder disse arkivene en start.bat batch-fil, som bruker PowerShell til å laste ned og kjøre flere filer. Under denne prosessen er Windows SmartScreen-beskyttelse deaktivert for å unngå sikkerhetstiltak.
Skadevaren kjører to nøkkelkomponenter: en gruvearbeider for kryptovaluta og en skadelig programvare som stjeler. Opprinnelig ble tyveren identifisert som VGS, en variant av Phemedrone Stealer, men i november 2024 hadde angripere gått over til å bruke Arcane. Mens Arcane låner elementer fra andre stjelere, har forskere ikke knyttet det til noen spesifikk malware-familie.
The Data Arcane Steals
Arcane er designet for å trekke ut et bredt utvalg av sensitiv informasjon, inkludert påloggingsinformasjon, passord, kredittkortdetaljer og informasjonskapsler lagret i både Chromium- og Gecko-baserte nettlesere. Den samler også systemdata. Skadevaren trekker ut konfigurasjonsfiler, innstillinger og kontodetaljer fra et bredt spekter av applikasjoner, inkludert:
- VPN-klienter : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN
- Nettverksklienter og verktøy : ngrok, Playit, Cyberduck, FileZilla, DynDNS
- Meldingsapper : ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber
- E-postklienter : Microsoft Outlook
- Spillklienter og tjenester : Riot Client, Epic, Steam, Ubisoft Connect (tidligere Uplay), Roblox, Battle.net, forskjellige Minecraft-klienter
- Krypto-lommebøker : Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi
Utover standard legitimasjonstyveri, bruker Arcane sofistikerte teknikker for å forbedre datainnsamlingen. Den bruker Data Protection API (DPAPI) for å trekke ut krypteringsnøkler som brukes av nettlesere for å sikre lagrede passord og informasjonskapsler. I tillegg kjører den en skjult forekomst av Xaitax-verktøyet for å knekke disse krypteringsnøklene, og sikrer full tilgang til lagret legitimasjon. For å trekke ut autentiseringskapsler fra Chromium-baserte nettlesere, starter den en kopi av nettleseren gjennom en feilsøkingsport, og omgår tradisjonelle sikkerhetsbarrierer.
Fremveksten av ArcanaLoader
I en videre utvikling av taktikken deres har angriperne introdusert ArcanaLoader, et truende verktøy forkledd som programvare for å laste ned spilljuksekoder. I stedet for juksekoder, distribuerer verktøyet Arcane, og utvider skadevareens rekkevidde ytterligere. Kampanjen retter seg først og fremst mot brukere i Russland, Hviterussland og Kasakhstan.
En cybertrussel som tilpasser seg raskt
Arcane malware-kampanjen fremhever tilpasningsevnen til nettkriminelle som kontinuerlig forbedrer angrepsmetodene sine. Arcane skiller seg ut på grunn av sine omfattende datainnsamlingsmuligheter og avanserte teknikker for å trekke ut kryptert informasjon. Denne operasjonen tjener som en påminnelse om at selv tilsynelatende harmløse nedlastinger av juksespill kan være en inngangsport til alvorlige sikkerhetstrusler.
