Arcane Stealer Malware

网络犯罪分子利用 YouTube 视频宣传游戏作弊手段，传播一种新发现的恶意软件 Arcane。这种窃取数据的恶意软件主要针对俄语用户，能够从受感染的系统中收集大量敏感数据。

秘法如何传播

攻击始于 YouTube 视频中嵌入的链接，这些链接会将毫无戒心的用户引导至受密码保护的档案。一旦提取，这些档案将包含一个 start.bat 批处理文件，该文件使用 PowerShell 下载并执行其他文件。在此过程中，Windows SmartScreen 保护被禁用以逃避安全措施。

该恶意软件执行两个关键组件：加密货币挖矿程序和窃取恶意软件。最初，窃取恶意软件被确定为 VGS，即 Phemedrone Stealer 的一个变种，但到 2024 年 11 月，攻击者已转而使用 Arcane。虽然 Arcane 借用了其他窃取恶意软件的元素，但研究人员尚未将其与任何特定的恶意软件家族联系起来。

数据秘法窃取

Arcane 旨在提取各种敏感信息，包括登录凭据、密码、信用卡详细信息以及存储在基于 Chromium 和 Gecko 的浏览器中的 cookie。它还收集系统数据。该恶意软件从各种应用程序中提取配置文件、设置和帐户详细信息，包括：

• VPN 客户端：OpenVPN、Mullvad、NordVPN、IPVanish、Surfshark、Proton、hidemy.name、PIA、CyberGhost、ExpressVPN
• 网络客户端和实用程序：ngrok、Playit、Cyberduck、FileZilla、DynDNS
• 消息应用程序：ICQ、Tox、Skype、Pidgin、Signal、Element、Discord、Telegram、Jabber、Viber
• 电子邮件客户端：Microsoft Outlook
• 游戏客户端和服务：Riot Client、Epic、Steam、Ubisoft Connect（原为 Uplay）、Roblox、Battle.net、各种 Minecraft 客户端
• 加密钱包：Zcash、Armory、Bytecoin、Jaxx、Exodus、Ethereum、Electrum、Atomic、Guarda、Coinomi

除了标准的凭证盗窃之外，Arcane 还采用了复杂的技术来增强数据收集。它利用数据保护 API (DPAPI) 来提取浏览器用于保护存储的密码和 cookie 的加密密钥。此外，它还执行 Xaitax 实用程序的隐藏实例来破解这些加密密钥，确保完全访问存储的凭证。为了从基于 Chromium 的浏览器中提取身份验证 cookie，它会通过调试端口启动浏览器的副本，从而绕过传统的安全屏障。

ArcanaLoader 的出现

攻击者进一步改进了他们的策略，引入了 ArcanaLoader，这是一款伪装成下载游戏作弊软件的威胁工具。该工具部署的不是作弊软件，而是 Arcane，进一步扩大了恶意软件的覆盖范围。该活动主要针对俄罗斯、白俄罗斯和哈萨克斯坦的用户。

快速变化的网络威胁

Arcane 恶意软件活动凸显了网络犯罪分子的适应性，他们不断改进攻击方法。Arcane 因其广泛的数据收集能力和提取加密信息的先进技术而脱颖而出。此操作提醒我们，即使是看似无害的游戏作弊下载也可能成为严重安全威胁的门户。