Phần mềm độc hại Arcane Stealer

Tội phạm mạng đang lợi dụng các video YouTube quảng cáo gian lận trong trò chơi để phân phối phần mềm độc hại mới được xác định có tên là Arcane. Phần mềm độc hại đánh cắp này chủ yếu nhắm vào người dùng nói tiếng Nga và có khả năng thu thập nhiều dữ liệu nhạy cảm từ các hệ thống bị xâm phạm.

Arcane lan truyền như thế nào

Cuộc tấn công bắt đầu bằng các liên kết được nhúng trong video YouTube dẫn người dùng không nghi ngờ đến các kho lưu trữ được bảo vệ bằng mật khẩu. Sau khi giải nén, các kho lưu trữ này chứa tệp lệnh start.bat, sử dụng PowerShell để tải xuống và thực thi các tệp bổ sung. Trong quá trình này, tính năng bảo vệ Windows SmartScreen bị vô hiệu hóa để tránh các biện pháp bảo mật.

Phần mềm độc hại thực thi hai thành phần chính: một trình khai thác tiền điện tử và một phần mềm độc hại đánh cắp. Ban đầu, kẻ đánh cắp được xác định là VGS, một biến thể của Phemedrone Stealer, nhưng đến tháng 11 năm 2024, những kẻ tấn công đã chuyển sang sử dụng Arcane. Mặc dù Arcane mượn các thành phần từ những kẻ đánh cắp khác, nhưng các nhà nghiên cứu không liên kết nó với bất kỳ họ phần mềm độc hại cụ thể nào.

Bí ẩn dữ liệu bị đánh cắp

Arcane được thiết kế để trích xuất nhiều loại thông tin nhạy cảm, bao gồm thông tin đăng nhập, mật khẩu, thông tin chi tiết về thẻ tín dụng và cookie được lưu trữ trong cả trình duyệt dựa trên Chromium và Gecko. Nó cũng thu thập dữ liệu hệ thống. Phần mềm độc hại trích xuất các tệp cấu hình, cài đặt và thông tin chi tiết về tài khoản từ nhiều ứng dụng, bao gồm:

• Máy khách VPN : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN
• Máy khách và tiện ích mạng : ngrok, Playit, Cyberduck, FileZilla, DynDNS
• Ứng dụng nhắn tin : ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber
• Máy khách email : Microsoft Outlook
• Khách hàng và dịch vụ chơi game : Riot Client, Epic, Steam, Ubisoft Connect (trước đây là Uplay), Roblox, Battle.net, nhiều khách hàng Minecraft khác
• Ví tiền điện tử : Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi

Ngoài việc đánh cắp thông tin xác thực tiêu chuẩn, Arcane sử dụng các kỹ thuật tinh vi để tăng cường thu thập dữ liệu. Nó sử dụng API Bảo vệ Dữ liệu (DPAPI) để trích xuất các khóa mã hóa được trình duyệt sử dụng để bảo mật mật khẩu và cookie đã lưu trữ. Ngoài ra, nó thực thi một phiên bản ẩn của tiện ích Xaitax để bẻ khóa các khóa mã hóa này, đảm bảo quyền truy cập đầy đủ vào thông tin xác thực đã lưu trữ. Để trích xuất cookie xác thực từ các trình duyệt dựa trên Chromium, nó khởi chạy một bản sao của trình duyệt thông qua cổng gỡ lỗi, bỏ qua các rào cản bảo mật truyền thống.

Sự xuất hiện của ArcanaLoader

Trong một bước tiến hóa hơn nữa của chiến thuật, những kẻ tấn công đã giới thiệu ArcanaLoader, một công cụ đe dọa được ngụy trang thành phần mềm để tải xuống các trò gian lận trong trò chơi. Thay vì gian lận, công cụ này triển khai Arcane, mở rộng phạm vi tiếp cận của phần mềm độc hại hơn nữa. Chiến dịch này chủ yếu nhắm vào người dùng ở Nga, Belarus và Kazakhstan.

Một mối đe dọa mạng đang thích nghi nhanh chóng

Chiến dịch phần mềm độc hại Arcane nhấn mạnh khả năng thích ứng của tội phạm mạng, những kẻ liên tục cải tiến phương pháp tấn công của mình. Arcane nổi bật nhờ khả năng thu thập dữ liệu mở rộng và các kỹ thuật tiên tiến để trích xuất thông tin được mã hóa. Hoạt động này đóng vai trò như một lời nhắc nhở rằng ngay cả việc tải xuống phần mềm gian lận trò chơi có vẻ vô hại cũng có thể là cánh cổng dẫn đến các mối đe dọa bảo mật nghiêm trọng.