Logiciel malveillant Arcane Stealer : un aperçu de cette menace insidieuse

Une souche de malware appelée Arcane Stealer cible les utilisateurs peu méfiants via des vidéos YouTube faisant la promotion de triches. Ce malware de vol, jusqu'alors non répertorié, a attiré l'attention des chercheurs en sécurité en raison du volume considérable d'informations qu'il collecte et des techniques sophistiquées qu'il emploie.

Qu'est-ce qu'Arcane Stealer ?

Arcane Stealer est un malware voleur d'informations conçu pour exfiltrer un large éventail de données utilisateur, notamment les identifiants de connexion, les cookies, les informations de carte bancaire et les détails de configuration système. Contrairement aux malwares plus courants qui ciblent une catégorie d'informations spécifique, Arcane cible plusieurs applications, ce qui en fait un problème majeur pour les utilisateurs de jeux, de messagerie et de services réseau.

Comment Arcane Stealer se propage-t-il ?

La principale méthode de distribution d'Arcane Stealer consiste à diffuser des vidéos YouTube vantant des astuces de jeu. Les utilisateurs sont incités à télécharger une archive protégée par mot de passe à partir d'un lien fourni dans la description de la vidéo. Une fois extraite, l'archive contient un fichier batch (start.bat), qui déclenche une chaîne d'actions menant à l'exécution du malware.

Ce processus consiste à utiliser PowerShell pour télécharger une autre archive contenant deux fichiers exécutables. L'un est un mineur de cryptomonnaie, tandis que l'autre est Arcane Stealer lui-même. De plus, le script batch désactive les protections Windows SmartScreen, permettant au malware d'agir sans être détecté. Au fil du temps, les cybercriminels ont adapté cette stratégie, utilisant auparavant une autre variante de malware voleur appelée VGS avant de passer à Arcane fin 2024.

Quelle est la cible d'Arcane Stealer ?

Arcane Stealer a une portée exceptionnellement large, ciblant une variété d'applications, notamment :

  • Clients VPN : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, ProtonVPN, hidemy.name, PIA, CyberGhost, ExpressVPN.
  • Utilitaires réseau : ngrok, Playit, Cyberduck, FileZilla, DynDNS.
  • Applications de messagerie : ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber.
  • Clients de messagerie : Microsoft Outlook.
  • Plateformes de jeu : Riot Client, Epic Games, Steam, Ubisoft Connect, Roblox, Battle.net et divers clients Minecraft.
  • Portefeuilles de crypto-monnaie : Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi.

Au-delà de la collecte d'informations d'identification et de données sensibles, Arcane Stealer prend des captures d'écran des systèmes infectés, enregistre les processus en cours d'exécution et extrait les informations d'identification du réseau Wi-Fi enregistrées.

Comment Arcane Stealer vole-t-il des informations ?

Les navigateurs modernes utilisent des techniques de chiffrement pour sécuriser les données sensibles telles que les mots de passe enregistrés et les cookies. Arcane Stealer exploite l'API de protection des données Windows (DPAPI) pour récupérer ces clés de chiffrement. Cependant, Arcane se distingue par l'utilisation d'un utilitaire intégré appelé Xaitax, qui déchiffre les clés de chiffrement des navigateurs, permettant ainsi au logiciel malveillant d'accéder aux identifiants stockés.

De plus, le logiciel malveillant utilise une fonctionnalité de débogage pour extraire les cookies des navigateurs basés sur Chromium en lançant une copie du navigateur via un port de débogage. Cela permet aux attaquants d'accéder en permanence aux sessions utilisateur, contournant potentiellement les protections de l'authentification multifacteur (MFA) .

Qui est ciblé ?

Bien que la campagne semble principalement cibler les utilisateurs russophones, notamment ceux de Russie, de Biélorussie et du Kazakhstan, rien ne garantit qu'Arcane Stealer restera confiné à ces régions. La capacité d'adaptation des cybercriminels implique que les méthodes de distribution et les cibles démographiques peuvent évoluer au fil du temps.

Conséquences du voleur d'arcanes

Les implications de ce logiciel malveillant sont considérables. En volant les identifiants de comptes de jeu, de plateformes de messagerie et de portefeuilles de cryptomonnaies, les attaquants peuvent se livrer à des usurpations d'identité, des fraudes et des transactions non autorisées. De plus, les identifiants VPN compromis peuvent être utilisés pour accéder aux réseaux d'entreprise, augmentant ainsi le risque de nouvelles cyberattaques.

De plus, la présence d’un mineur de cryptomonnaie aux côtés du voleur indique que les attaquants sont également intéressés à tirer profit des systèmes infectés en utilisant leurs ressources informatiques.

Évolution du paysage des menaces

Les cybercriminels affinent constamment leurs tactiques pour échapper à la détection et maximiser leurs chances de succès. L'introduction d'ArcanaLoader, un chargeur déguisé en téléchargeur de codes de triche, illustre cette adaptabilité. Au lieu de fournir des codes de triche aux utilisateurs, il installe furtivement Arcane Stealer, démontrant ainsi comment les attaquants exploitent la confiance des utilisateurs pour diffuser efficacement des logiciels malveillants.

Comment se protéger contre le voleur d'arcanes

Étant donné la sophistication d'Arcane Stealer, il est indispensable d'adopter les meilleures pratiques pour minimiser le risque d'infection :

  1. Évitez de télécharger des fichiers provenant de sources non vérifiées : méfiez-vous des vidéos YouTube et des sites Web qui font la promotion de triches de jeux ou d’autres logiciels gratuits.
  2. Maintenez les fonctionnalités de sécurité activées : Windows SmartScreen et d’autres fonctionnalités de sécurité sont conçus pour bloquer les téléchargements malveillants. Leur désactivation rend les systèmes vulnérables.
  3. Utilisez l’authentification multifacteur (MFA) : même si les informations d’identification sont volées, l’authentification multifacteur peut fournir une couche de sécurité supplémentaire contre les accès non autorisés.
  4. Mettre à jour régulièrement les logiciels : maintenir les systèmes d’exploitation, les navigateurs et les outils de sécurité à jour peut contribuer à la protection contre les vulnérabilités connues.
  5. Surveiller l'activité du compte : des vérifications fréquentes des comptes de jeu, de messagerie et financiers peuvent aider à détecter rapidement toute activité suspecte.
  6. Utilisez un logiciel antivirus réputé : les solutions de sécurité avancées peuvent identifier et arrêter les logiciels malveillants avant qu'ils ne puissent s'exécuter.

Réflexions finales

Arcane Stealer met en lumière l'évolution constante des cybercriminels, qui utilisent des tactiques trompeuses pour cibler des utilisateurs peu méfiants. Ses vastes capacités de collecte de données en font une menace importante, notamment pour les acteurs du jeu, des cryptomonnaies et des communications en ligne. En restant informés et en adoptant des mesures de sécurité proactives, les utilisateurs peuvent réduire les risques liés à ces menaces.

Par Willa
March 24, 2025
Malware, Trojan
Français
March 24, 2025
Malware, Trojan

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 12 days

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 19 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.