Вредоносное ПО Arcane Stealer
Киберпреступники используют видеоролики YouTube, рекламирующие игровые читы, для распространения недавно выявленного вредоносного ПО под названием Arcane. Это вредоносное ПО-вор в первую очередь нацелено на русскоязычных пользователей и способно собирать широкий спектр конфиденциальных данных из скомпрометированных систем.
Оглавление
Как распространяется Аркан
Атака начинается со ссылок, встроенных в видео YouTube, которые ведут ничего не подозревающих пользователей к защищенным паролем архивам. После извлечения эти архивы содержат пакетный файл start.bat, который использует PowerShell для загрузки и выполнения дополнительных файлов. Во время этого процесса защита Windows SmartScreen отключается, чтобы обойти меры безопасности.
Вредоносная программа выполняет два ключевых компонента: майнер криптовалюты и вредоносную программу-стилер. Первоначально стилер был идентифицирован как VGS, вариант Phemedrone Stealer, но к ноябрю 2024 года злоумышленники переключились на использование Arcane. Хотя Arcane заимствует элементы у других стилеров, исследователи не связали его с каким-либо конкретным семейством вредоносных программ.
Данные Тайной Кражи
Arcane разработан для извлечения широкого спектра конфиденциальной информации, включая учетные данные для входа, пароли, данные кредитных карт и файлы cookie, хранящиеся в браузерах на базе Chromium и Gecko. Он также собирает системные данные. Вредоносная программа извлекает файлы конфигурации, настройки и данные учетных записей из широкого спектра приложений, включая:
- VPN-клиенты : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN
- Сетевые клиенты и утилиты : ngrok, Playit, Cyberduck, FileZilla, DynDNS
- Приложения для обмена сообщениями : ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber
- Клиенты электронной почты : Microsoft Outlook
- Игровые клиенты и сервисы : Riot Client, Epic, Steam, Ubisoft Connect (ранее Uplay), Roblox, Battle.net, различные клиенты Minecraft
- Крипто-кошельки : Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi.
Помимо стандартной кражи учетных данных, Arcane использует сложные методы для улучшения сбора данных. Он использует API защиты данных (DPAPI) для извлечения ключей шифрования, используемых браузерами для защиты сохраненных паролей и файлов cookie. Кроме того, он запускает скрытый экземпляр утилиты Xaitax для взлома этих ключей шифрования, обеспечивая полный доступ к сохраненным учетным данным. Для извлечения файлов cookie аутентификации из браузеров на базе Chromium он запускает копию браузера через порт отладки, обходя традиционные барьеры безопасности.
Появление ArcanaLoader
В ходе дальнейшей эволюции своей тактики злоумышленники внедрили ArcanaLoader — опасный инструмент, замаскированный под программное обеспечение для загрузки игровых читов. Вместо читов инструмент использует Arcane, что еще больше расширяет сферу действия вредоносного ПО. Кампания в первую очередь нацелена на пользователей в России, Беларуси и Казахстане.
Быстро адаптирующаяся киберугроза
Вредоносная кампания Arcane подчеркивает адаптивность киберпреступников, которые постоянно совершенствуют свои методы атак. Arcane выделяется своими обширными возможностями сбора данных и передовыми методами извлечения зашифрованной информации. Эта операция служит напоминанием о том, что даже, казалось бы, безобидные загрузки игровых читов могут стать воротами для серьезных угроз безопасности.
