Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Arcane Stealer Malware

Arcane Stealer Malware

Por Mezo em Malware, Ladrões
Traduzir Para:
Português

Os cibercriminosos estão aproveitando vídeos do YouTube que promovem trapaças em jogos para distribuir um malware recém-identificado chamado Arcane. Esse malware ladrão tem como alvo principal usuários que falam russo e é capaz de coletar uma ampla gama de dados confidenciais de sistemas comprometidos.

Como o Arcano Se Espalha

O ataque começa com links incorporados em vídeos do YouTube que levam usuários desavisados a arquivos protegidos por senha. Uma vez extraídos, esses arquivos contêm um arquivo em lote start.bat, que usa o PowerShell para baixar e executar arquivos adicionais. Durante esse processo, a proteção do Windows SmartScreen é desabilitada para evitar medidas de segurança.

O malware executa dois componentes principais: um minerador de criptomoedas e um malware ladrão. Inicialmente, o ladrão foi identificado como VGS, uma variante do Phemedrone Stealer, mas em novembro de 2024, os invasores passaram a usar o Arcane. Embora o Arcane pegue emprestado elementos de outros ladrões, os pesquisadores não o vincularam a nenhuma família de malware específica.

Os Dados que o Arcane Rouba

O Arcane foi projetado para extrair uma grande variedade de informações confidenciais, incluindo credenciais de login, senhas, detalhes de cartão de crédito e cookies armazenados em navegadores baseados em Chromium e Gecko. Ele também coleta dados do sistema. O malware extrai arquivos de configuração, definições e detalhes de conta de uma ampla gama de aplicativos, incluindo:

  • Clientes VPN : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN
  • Clientes e utilitários de rede : ngrok, Playit, Cyberduck, FileZilla, DynDNS
  • Aplicativos de mensagens : ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber
  • Clientes de e-mail : Microsoft Outlook
  • Clientes e serviços de jogos : Riot Client, Epic, Steam, Ubisoft Connect (anteriormente Uplay), Roblox, Battle.net, vários clientes Minecraft
  • Carteiras criptográficas : Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi

Além do roubo de credenciais padrão, o Arcane emprega técnicas sofisticadas para aprimorar a coleta de dados. Ele utiliza a API de Proteção de Dados (DPAPI) para extrair chaves de criptografia usadas por navegadores para proteger senhas e cookies armazenados. Além disso, ele executa uma instância oculta do utilitário Xaitax para quebrar essas chaves de criptografia, garantindo acesso total às credenciais armazenadas. Para extrair cookies de autenticação de navegadores baseados em Chromium, ele inicia uma cópia do navegador por meio de uma porta de depuração, ignorando as barreiras de segurança tradicionais.

O Surgimento do ArcanaLoader

Em uma evolução adicional de suas táticas, os atacantes introduziram o ArcanaLoader, uma ferramenta ameaçadora disfarçada de software para baixar cheats de jogos. Em vez de cheats, a ferramenta implanta o Arcane, expandindo ainda mais o alcance do malware. A campanha tem como alvo principal usuários na Rússia, Bielorrússia e Cazaquistão.

Uma Ameaça Cibernética de Adaptação Rápida

A campanha de malware Arcane destaca a adaptabilidade dos cibercriminosos que continuamente refinam seus métodos de ataque. O Arcane se destaca devido às suas extensas capacidades de coleta de dados e técnicas avançadas para extrair informações criptografadas. Esta operação serve como um lembrete de que até mesmo downloads de cheats de jogos aparentemente inofensivos podem ser uma porta de entrada para ameaças severas à segurança.

Postagens Relacionadas

Tendendo

Mais visto

Carregando...