Arcane Stealer-malware
Cybercriminelen maken gebruik van YouTube-video's die gamecheats promoten om een nieuw geïdentificeerde malware genaamd Arcane te verspreiden. Deze stealer-malware richt zich voornamelijk op Russischtalige gebruikers en is in staat om een groot scala aan gevoelige gegevens van gecompromitteerde systemen te verzamelen.
Inhoudsopgave
Hoe Arcane zich verspreidt
De aanval begint met links die in YouTube-video's zijn ingebed en die nietsvermoedende gebruikers naar wachtwoordbeveiligde archieven leiden. Na extractie bevatten deze archieven een start.bat-batchbestand, dat PowerShell gebruikt om extra bestanden te downloaden en uit te voeren. Tijdens dit proces wordt de Windows SmartScreen-beveiliging uitgeschakeld om beveiligingsmaatregelen te omzeilen.
De malware voert twee belangrijke componenten uit: een cryptocurrency miner en een stealer malware. Aanvankelijk werd de stealer geïdentificeerd als VGS, een variant van de Phemedrone Stealer, maar in november 2024 waren aanvallers overgestapt op Arcane. Hoewel Arcane elementen leent van andere stealers, hebben onderzoekers het niet aan een specifieke malwarefamilie gekoppeld.
De Data Arcane Steelt
Arcane is ontworpen om een breed scala aan gevoelige informatie te extraheren, waaronder inloggegevens, wachtwoorden, creditcardgegevens en cookies die zijn opgeslagen in zowel Chromium- als Gecko-gebaseerde browsers. Het verzamelt ook systeemgegevens. De malware extraheert configuratiebestanden, instellingen en accountgegevens uit een breed scala aan applicaties, waaronder:
- VPN-clients : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN
- Netwerkclients en hulpprogramma's : ngrok, Playit, Cyberduck, FileZilla, DynDNS
- Berichten-apps : ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber
- E-mailclients : Microsoft Outlook
- Gaming-clients en -services : Riot Client, Epic, Steam, Ubisoft Connect (voorheen Uplay), Roblox, Battle.net, verschillende Minecraft-clients
- Crypto-portefeuilles : Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi
Naast standaard diefstal van inloggegevens gebruikt Arcane geavanceerde technieken om gegevensverzameling te verbeteren. Het gebruikt de Data Protection API (DPAPI) om encryptiesleutels te extraheren die door browsers worden gebruikt om opgeslagen wachtwoorden en cookies te beveiligen. Daarnaast voert het een verborgen exemplaar van het hulpprogramma Xaitax uit om deze encryptiesleutels te kraken, waardoor volledige toegang tot opgeslagen inloggegevens wordt gegarandeerd. Om authenticatiecookies uit op Chromium gebaseerde browsers te extraheren, start het een kopie van de browser via een debugpoort, waarmee traditionele beveiligingsbarrières worden omzeild.
De opkomst van ArcanaLoader
In een verdere evolutie van hun tactiek hebben de aanvallers ArcanaLoader geïntroduceerd, een bedreigende tool vermomd als software voor het downloaden van gamecheats. In plaats van cheats, gebruikt de tool Arcane, wat het bereik van de malware verder vergroot. De campagne richt zich voornamelijk op gebruikers in Rusland, Wit-Rusland en Kazachstan.
Een cyberdreiging die zich snel aanpast
De Arcane-malwarecampagne benadrukt de aanpassingsvermogen van cybercriminelen die hun aanvalsmethoden voortdurend verfijnen. Arcane onderscheidt zich door zijn uitgebreide mogelijkheden voor gegevensverzameling en geavanceerde technieken voor het extraheren van gecodeerde informatie. Deze operatie dient als herinnering dat zelfs ogenschijnlijk onschadelijke gamecheatdownloads een toegangspoort kunnen zijn tot ernstige beveiligingsbedreigingen.
