Malware Arcane Stealer
Criminalii cibernetici folosesc videoclipuri YouTube care promovează trucuri pentru a distribui un program malware nou identificat numit Arcane. Acest malware de furt vizează în primul rând utilizatorii vorbitori de limbă rusă și este capabil să adune o gamă largă de date sensibile din sistemele compromise.
Cuprins
Cum se răspândește Arcane
Atacul începe cu link-uri încorporate în videoclipurile YouTube care conduc utilizatorii nebănuiți către arhive protejate prin parolă. Odată extrase, aceste arhive conțin un fișier batch start.bat, care utilizează PowerShell pentru a descărca și executa fișiere suplimentare. În timpul acestui proces, protecția Windows SmartScreen este dezactivată pentru a evita măsurile de securitate.
Malware-ul execută două componente cheie: un miner de criptomonede și un malware de furt. Inițial, hoțul a fost identificat ca VGS, o variantă a Phhemedrone Stealer, dar până în noiembrie 2024, atacatorii au trecut la utilizarea Arcane. În timp ce Arcane împrumută elemente de la alți hoți, cercetătorii nu l-au legat de nicio familie specifică de malware.
Arcanul de date fură
Arcane este proiectat pentru a extrage o mare varietate de informații sensibile, inclusiv acreditările de conectare, parolele, detaliile cardului de credit și cookie-urile stocate atât în browserele bazate pe Chromium, cât și în Gecko. De asemenea, adună date de sistem. Programul malware extrage fișiere de configurare, setări și detalii de cont dintr-o gamă largă de aplicații, inclusiv:
- Clienți VPN : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN
- Clienți de rețea și utilitare : ngrok, Playit, Cyberduck, FileZilla, DynDNS
- Aplicații de mesagerie : ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber
- Clienți de e-mail : Microsoft Outlook
- Clienți și servicii de jocuri : Riot Client, Epic, Steam, Ubisoft Connect (fost Uplay), Roblox, Battle.net, diverși clienți Minecraft
- Portofele cripto : Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi
Dincolo de furtul standard de acreditări, Arcane folosește tehnici sofisticate pentru a îmbunătăți colectarea datelor. Utilizează Data Protection API (DPAPI) pentru a extrage cheile de criptare utilizate de browsere pentru a securiza parolele și cookie-urile stocate. În plus, execută o instanță ascunsă a utilitarului Xaitax pentru a sparge aceste chei de criptare, asigurând acces deplin la acreditările stocate. Pentru a extrage module cookie de autentificare din browserele bazate pe Chromium, lansează o copie a browserului printr-un port de depanare, ocolind barierele de securitate tradiționale.
Apariția lui ArcanaLoader
Într-o evoluție ulterioară a tacticii lor, atacatorii au introdus ArcanaLoader, un instrument amenințător deghizat în software pentru descărcarea trucurilor de joc. În loc de trucuri, instrumentul implementează Arcane, extinzând și mai mult raza malware-ului. Campania vizează în primul rând utilizatorii din Rusia, Belarus și Kazahstan.
O amenințare cibernetică care se adaptează rapid
Campania de malware Arcane evidențiază adaptabilitatea infractorilor cibernetici care își perfecționează continuu metodele de atac. Arcane se remarcă prin capabilitățile sale extinse de colectare a datelor și prin tehnicile avansate de extragere a informațiilor criptate. Această operațiune servește ca un memento că chiar și descărcările de trucuri de jocuri aparent inofensive pot fi o poartă de acces către amenințări severe de securitate.
