Oprogramowanie szpiegujące Arcane Stealer

Cyberprzestępcy wykorzystują filmy z YouTube promujące oszustwa w grach, aby rozpowszechniać nowo zidentyfikowane złośliwe oprogramowanie o nazwie Arcane. To złośliwe oprogramowanie typu stealer jest skierowane głównie do użytkowników rosyjskojęzycznych i jest w stanie gromadzić szeroki zakres poufnych danych z zainfekowanych systemów.

Jak rozprzestrzenia się Arcane

Atak zaczyna się od linków osadzonych w filmach YouTube, które prowadzą niczego niepodejrzewających użytkowników do archiwów chronionych hasłem. Po rozpakowaniu te archiwa zawierają plik wsadowy start.bat, który używa programu PowerShell do pobierania i wykonywania dodatkowych plików. Podczas tego procesu ochrona Windows SmartScreen jest wyłączona, aby ominąć środki bezpieczeństwa.

Malware wykonuje dwa kluczowe komponenty: miner kryptowaluty i malware stealer. Początkowo stealer został zidentyfikowany jako VGS, wariant Phemedrone Stealer, ale do listopada 2024 r. atakujący przeszli na używanie Arcane. Chociaż Arcane zapożycza elementy od innych stealerów, badacze nie powiązali go z żadną konkretną rodziną malware.

Kradzieże tajemnic danych

Arcane jest przeznaczony do wydobywania szerokiej gamy poufnych informacji, w tym danych logowania, haseł, danych kart kredytowych i plików cookie przechowywanych w przeglądarkach opartych na Chromium i Gecko. Gromadzi również dane systemowe. Malware wydobywa pliki konfiguracyjne, ustawienia i dane konta z szerokiej gamy aplikacji, w tym:

• Klienci VPN : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN
• Klienci sieciowi i narzędzia : ngrok, Playit, Cyberduck, FileZilla, DynDNS
• Aplikacje do przesyłania wiadomości : ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber
• Klienci poczty e-mail : Microsoft Outlook
• Klienci i usługi gier : Riot Client, Epic, Steam, Ubisoft Connect (dawniej Uplay), Roblox, Battle.net, różni klienci Minecraft
• Portfele kryptowalutowe : Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi

Oprócz standardowej kradzieży danych uwierzytelniających, Arcane stosuje zaawansowane techniki w celu usprawnienia gromadzenia danych. Wykorzystuje Data Protection API (DPAPI) do wyodrębniania kluczy szyfrujących używanych przez przeglądarki do zabezpieczania przechowywanych haseł i plików cookie. Ponadto uruchamia ukrytą instancję narzędzia Xaitax w celu złamania tych kluczy szyfrujących, zapewniając pełny dostęp do przechowywanych danych uwierzytelniających. Aby wyodrębnić pliki cookie uwierzytelniające z przeglądarek opartych na Chromium, uruchamia kopię przeglądarki przez port debugowania, omijając tradycyjne bariery bezpieczeństwa.

Powstanie ArcanaLoader

W dalszej ewolucji swoich taktyk atakujący wprowadzili ArcanaLoader, groźne narzędzie zamaskowane jako oprogramowanie do pobierania kodów do gier. Zamiast kodów narzędzie wdraża Arcane, co jeszcze bardziej rozszerza zasięg złośliwego oprogramowania. Kampania jest skierowana głównie do użytkowników w Rosji, Białorusi i Kazachstanie.

Szybko adaptujące się cyberzagrożenie

Kampania Arcane malware podkreśla zdolność adaptacji cyberprzestępców, którzy nieustannie udoskonalają swoje metody ataków. Arcane wyróżnia się dzięki swoim rozległym możliwościom gromadzenia danych i zaawansowanym technikom wydobywania zaszyfrowanych informacji. Ta operacja służy jako przypomnienie, że nawet pozornie niegroźne pobieranie cheatów do gier może być bramą do poważnych zagrożeń bezpieczeństwa.