Rabattoffert för flera licenser
Hotdatabas Skadlig programvara Arcane Stealer Malware

Arcane Stealer Malware

Med Mezo år Skadlig programvara, Stjälare
Översätt till:
Svenska

Cyberkriminella utnyttjar YouTube-videor som främjar spelfusk för att distribuera en nyligen identifierad skadlig programvara som heter Arcane. Den här skadliga skadliga programvaran riktar sig främst till rysktalande användare och kan samla in ett brett utbud av känslig data från komprometterade system.

Hur Arcane sprider sig

Attacken börjar med länkar inbäddade i YouTube-videor som leder intet ont anande användare till lösenordsskyddade arkiv. När de har extraherats innehåller dessa arkiv en start.bat batchfil, som använder PowerShell för att ladda ner och köra ytterligare filer. Under denna process är Windows SmartScreen-skyddet inaktiverat för att undvika säkerhetsåtgärder.

Skadlig programvara kör två nyckelkomponenter: en gruvarbetare för kryptovaluta och en skadlig programvara som stjäl. Ursprungligen identifierades stjälaren som VGS, en variant av Phemedrone Stealer, men i november 2024 hade angriparna gått över till att använda Arcane. Medan Arcane lånar element från andra stjälare har forskare inte kopplat det till någon specifik skadlig programvara.

Data Arcane Steals

Arcane är utformad för att extrahera en mängd olika känslig information, inklusive inloggningsuppgifter, lösenord, kreditkortsuppgifter och cookies lagrade i både Chromium- och Gecko-baserade webbläsare. Den samlar också in systemdata. Skadlig programvara extraherar konfigurationsfiler, inställningar och kontodetaljer från ett brett utbud av applikationer, inklusive:

  • VPN-klienter : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN
  • Nätverksklienter och verktyg : ngrok, Playit, Cyberduck, FileZilla, DynDNS
  • Meddelandeappar : ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber
  • E-postklienter : Microsoft Outlook
  • Spelklienter och tjänster : Riot Client, Epic, Steam, Ubisoft Connect (tidigare Uplay), Roblox, Battle.net, olika Minecraft-klienter
  • Kryptoplånböcker : Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi

Utöver standardinloggningsstöld använder Arcane sofistikerade tekniker för att förbättra datainsamlingen. Den använder Data Protection API (DPAPI) för att extrahera krypteringsnycklar som används av webbläsare för att säkra lagrade lösenord och cookies. Dessutom kör den en dold instans av Xaitax-verktyget för att knäcka dessa krypteringsnycklar, vilket säkerställer full åtkomst till lagrade referenser. För att extrahera autentiseringscookies från Chromium-baserade webbläsare, startar den en kopia av webbläsaren genom en felsökningsport, och kringgår traditionella säkerhetsbarriärer.

Uppkomsten av ArcanaLoader

I en vidareutveckling av sin taktik har angriparna introducerat ArcanaLoader, ett hotfullt verktyg förklädd som programvara för att ladda ner spelfusk. Istället för fusk använder verktyget Arcane, vilket ytterligare utökar skadlig programvaras räckvidd. Kampanjen riktar sig främst till användare i Ryssland, Vitryssland och Kazakstan.

Ett snabbt anpassningsbart cyberhot

Arcane malware-kampanj belyser anpassningsförmågan hos cyberkriminella som kontinuerligt förfinar sina attackmetoder. Arcane utmärker sig genom sina omfattande datainsamlingsmöjligheter och avancerade tekniker för att extrahera krypterad information. Denna operation tjänar som en påminnelse om att även till synes ofarliga nedladdningar av spelfusk kan vara en inkörsport till allvarliga säkerhetshot.

Trendigt

Mest sedda

Läser in...