Arcane Stealer Malware

網路犯罪分子利用宣傳遊戲作弊手段的 YouTube 影片來傳播一種名為 Arcane 的新發現的惡意軟體。這種竊取惡意軟體主要針對俄語用戶，並能夠從受感染的系統中收集大量敏感資料。

秘法如何傳播

攻擊始於 YouTube 影片中嵌入的鏈接，這些鏈接會將毫無戒心的用戶引導至受密碼保護的檔案。一旦提取出來，這些檔案包含一個start.bat批次文件，它使用PowerShell下載並執行其他文件。在此過程中，Windows SmartScreen 保護被停用以逃避安全措施。

該惡意軟體執行兩個關鍵元件：加密貨幣挖掘器和竊取惡意軟體。最初，該竊取程式被確定為 VGS，即 Phemedrone Stealer 的變種，但到 2024 年 11 月，攻擊者已轉而使用 Arcane。雖然 Arcane 借用了其他竊取程式的元素，但研究人員並未將其與任何特定的惡意軟體家族聯繫起來。

資料秘法竊取

Arcane 旨在提取各種敏感信息，包括登入憑證、密碼、信用卡詳細資訊以及儲存在基於 Chromium 和 Gecko 的瀏覽器中的 cookie。它還收集系統數據。該惡意軟體從各種應用程式中提取配置文件、設定和帳戶詳細信息，其中包括：

• VPN 用戶端：OpenVPN、Mullvad、NordVPN、IPVanish、Surfshark、Proton、hidemy.name、PIA、CyberGhost、ExpressVPN
• 網路客戶端和實用程式：ngrok、Playit、Cyberduck、FileZilla、DynDNS
• 訊息應用程式：ICQ、Tox、Skype、Pidgin、Signal、Element、Discord、Telegram、Jabber、Viber
• 電子郵件用戶端：Microsoft Outlook
• 遊戲用戶端與服務：Riot Client、Epic、Steam、Ubisoft Connect（原為 Uplay）、Roblox、Battle.net、各種 Minecraft 用戶端
• 加密錢包：Zcash、Armory、Bytecoin、Jaxx、Exodus、Ethereum、Electrum、Atomic、Guarda、Coinomi

除了標準的憑證盜竊之外，Arcane 還採用了複雜的技術來增強資料收集。它利用資料保護 API (DPAPI) 提取瀏覽器用來保護儲存的密碼和 cookie 的加密金鑰。此外，它還執行 Xaitax 實用程式的隱藏實例來破解這些加密金鑰，確保完全存取儲存的憑證。為了從基於 Chromium 的瀏覽器中提取身份驗證 cookie，它會透過偵錯連接埠啟動瀏覽器的副本，從而繞過傳統的安全屏障。

ArcanaLoader 的出現

在其攻擊策略的進一步演變中，攻擊者引入了 ArcanaLoader，一種偽裝成下載遊戲作弊軟體的威脅工具。該工具並未使用欺騙手段，而是部署了 Arcane，進一步擴大了惡意軟體的覆蓋範圍。此次活動主要針對俄羅斯、白俄羅斯和哈薩克的用戶。

快速變化的網路威脅

Arcane 惡意軟體活動凸顯了網路犯罪分子的適應性，他們不斷改進攻擊方法。 Arcane 因其廣泛的數據收集能力和提取加密資訊的先進技術而脫穎而出。這次操作提醒我們，即使看似無害的遊戲作弊下載也可能成為嚴重安全威脅的門戶。