Arcane Stealer Malware: A Look Into This Insidious Threat

En malware-stamme kjent som Arcane Stealer retter seg mot intetanende brukere gjennom YouTube- videoer som fremmer spilljuksekoder. Denne tidligere udokumenterte tyveren skadelig programvare har fanget oppmerksomheten til sikkerhetsforskere på grunn av den store mengden informasjon den samler inn og de sofistikerte teknikkene den bruker.

Hva er Arcane Stealer?

Arcane Stealer er en type skadelig programvare som stjeler informasjon designet for å eksfiltrere et bredt spekter av brukerdata, inkludert påloggingsinformasjon, informasjonskapsler, kredittkortinformasjon og systemkonfigurasjonsdetaljer. I motsetning til mer vanlig skadelig programvare som fokuserer på en spesifikk informasjonskategori, retter Arcane seg mot flere applikasjoner, noe som gjør det til en betydelig bekymring for brukere som er avhengige av spill, meldinger og nettverkstjenester.

Hvordan sprer Arcane Stealer seg?

Den primære distribusjonsmetoden for Arcane Stealer involverer YouTube-videoer som annonserer spilljuksekoder. Brukere lokkes til å laste ned et passordbeskyttet arkiv fra en lenke gitt i videobeskrivelsen. Når det er pakket ut, inneholder arkivet en batch-fil (start.bat), som utløser en kjede av handlinger som fører til utførelse av skadelig programvare.

Denne prosessen innebærer å bruke PowerShell til å laste ned et annet arkiv, som inneholder to kjørbare filer. En av disse er en gruvearbeider for kryptovaluta, mens den andre er selve Arcane Stealer. I tillegg deaktiverer batchskriptet Windows SmartScreen-beskyttelse, slik at skadelig programvare kan fungere uoppdaget. Over tid har nettkriminelle tilpasset denne strategien, tidligere ved å bruke en annen tyverisk malware-variant kalt VGS før de byttet til Arcane i slutten av 2024.

Hva målretter Arcane Stealer?

Arcane Stealer er eksepsjonelt bredt i sitt omfang, og retter seg mot en rekke applikasjoner, inkludert:

  • VPN-klienter : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, ProtonVPN, hidemy.name, PIA, CyberGhost, ExpressVPN.
  • Nettverksverktøy : ngrok, Playit, Cyberduck, FileZilla, DynDNS.
  • Meldingsapper : ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber.
  • E-postklienter : Microsoft Outlook.
  • Spillplattformer : Riot Client, Epic Games, Steam, Ubisoft Connect, Roblox, Battle.net og forskjellige Minecraft-klienter.
  • Cryptocurrency lommebøker : Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi.

Utover innhenting av legitimasjon og sensitive data, tar Arcane Stealer skjermbilder av infiserte systemer, registrerer prosesser som kjører og trekker ut lagret Wi-Fi-nettverkslegitimasjon.

Hvordan stjeler Arcane Stealer informasjon?

Moderne nettlesere bruker krypteringsteknikker for å sikre sensitive data som lagrede passord og informasjonskapsler. Arcane Stealer bruker Windows Data Protection API (DPAPI) for å hente disse krypteringsnøklene. Det som imidlertid gjør Arcane spesielt bemerkelsesverdig, er bruken av et innebygd verktøy kalt Xaitax, som knekker nettleserkrypteringsnøkler, slik at skadelig programvare får tilgang til lagret legitimasjon.

I tillegg bruker skadelig programvare en feilsøkingsfunksjon for å trekke ut informasjonskapsler fra Chromium-baserte nettlesere ved å starte en kopi av nettleseren via en feilsøkingsport. Dette gir angripere vedvarende tilgang til brukerøkter, og kan potensielt omgå multi-faktor autentisering (MFA) beskyttelse.

Hvem blir målrettet?

Selv om kampanjen ser ut til å være primært fokusert på russisktalende brukere, spesielt de i Russland, Hviterussland og Kasakhstan, er det ingen garanti for at Arcane Stealer forblir begrenset til disse regionene. Nettkriminelles tilpasningsevne gjør at distribusjonsmetoder og måldemografi kan endre seg over tid.

Implikasjoner av Arcane Stealer

Implikasjonene av denne skadelige programvaren er betydelige. Ved å stjele legitimasjon for spillkontoer, meldingsplattformer og kryptovaluta-lommebøker, kan angripere delta i identitetstyveri, svindel og uautoriserte transaksjoner. I tillegg kan kompromittert VPN-legitimasjon brukes for å få tilgang til bedriftsnettverk, noe som øker risikoen for ytterligere cyberangrep.

Dessuten indikerer tilstedeværelsen av en kryptovalutagruvearbeider ved siden av stjeleren at angripere også er interessert i å tjene på infiserte systemer ved å bruke dataressursene deres.

Utviklende trussellandskap

Nettkriminelle finpusser alltid taktikken for å unngå oppdagelse og maksimere suksessen. Introduksjonen av ArcanaLoader, en loader forkledd som en spilljukse-nedlaster, eksemplifiserer denne tilpasningsevnen ytterligere. I stedet for å gi brukere spilljuksekoder, installerer den snikende Arcane Stealer, og demonstrerer hvordan angripere utnytter brukertillit for å distribuere skadelig programvare effektivt.

Slik beskytter du deg mot Arcane Stealer

Gitt det sofistikerte Arcane Stealer, er det et must å ta i bruk beste praksis for å minimere risikoen for infeksjon:

  1. Unngå å laste ned filer fra ubekreftede kilder : Vær forsiktig med YouTube-videoer og nettsteder som promoterer spilljuksekoder eller annen gratis programvare.
  2. Hold sikkerhetsfunksjoner aktivert : Windows SmartScreen og andre sikkerhetsfunksjoner er utviklet for å blokkere ondsinnede nedlastinger – deaktivering av dem gjør systemene sårbare.
  3. Bruk Multi-Factor Authentication (MFA) : Selv om legitimasjon blir stjålet, kan MFA gi et ekstra lag med sikkerhet mot uautorisert tilgang.
  4. Regelmessig oppdater programvare : Å holde operativsystemer, nettlesere og sikkerhetsverktøy oppdatert kan hjelpe til med beskyttelse mot kjente sårbarheter.
  5. Overvåk kontoaktivitet : Hyppige kontroller av spill-, e-post- og finanskontoer kan bidra til å oppdage mistenkelig aktivitet tidlig.
  6. Bruk anerkjent antivirusprogramvare : Avanserte sikkerhetsløsninger kan identifisere og stoppe skadelig programvare før den kan kjøres.

Siste tanker

Arcane Stealer fremhever hvordan nettkriminelle fortsetter å utvikle seg, ved å bruke villedende taktikker for å målrette mot intetanende brukere. Den omfattende datainnsamlingsmulighetene gjør den til en betydelig trussel, spesielt for de som er involvert i spill, kryptovaluta og nettkommunikasjon. Ved å holde seg informert og vedta proaktive sikkerhetstiltak kan brukere redusere risikoen for slike trusler.

Innen Willa
March 24, 2025
Skadevare, Trojan
Norsk
March 24, 2025
Skadevare, Trojan

Populære innlegg

Hva er OperaGXSetup.exe-filen og er den skadelig?

11 months siden

Eporner.com og hvorfor dets overdrevne popup-vinduer er...

12 days siden

Legg merke til: Noen la deg til som sin...

10 months siden

HackTool:Win32/Crack: en ondsinnet trussel som kan alvorlig...

7 months siden

En potensielt alvorlig trussel: Trojan:Win32/Suschil!rfn

19 days siden

Hva er trusselen om den trojanske hesten fra Packunwan og...

11 months siden
Norsk
Laster ...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hjem

Products

Cyclonis Password Manager Cyclonis World Time

Support

Help Files Spørsmål og svar Downloads Inquiries & Support

Selskap

About Us Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Personvern Cookie-policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows er et varemerke for Microsoft, registrert i USA og andre land.
Mac, iPhone, iPad og App Store er varemerker for Apple Inc., registrert i USA og andre land.
iOS er et registrert varemerke for Cisco Systems, Inc. og/eller dets tilknyttede selskaper i USA og visse andre land.
Android og Google Play er varemerker for Google LLC.