Oprogramowanie szpiegujące Arcane Stealer: Przyjrzyjmy się temu podstępnemu zagrożeniu

Szczep złośliwego oprogramowania znany jako Arcane Stealer atakuje niczego niepodejrzewających użytkowników za pośrednictwem filmów na YouTube , które promują oszustwa w grach. Ten wcześniej nieudokumentowany malware stealer przykuł uwagę badaczy bezpieczeństwa ze względu na ogromną ilość zbieranych informacji i wyrafinowane techniki, które wykorzystuje.

Czym jest Arcane Stealer?

Arcane Stealer to rodzaj złośliwego oprogramowania kradnącego informacje, zaprojektowanego w celu wykradania szerokiego zakresu danych użytkownika, w tym danych logowania, plików cookie, informacji o kartach kredytowych i szczegółów konfiguracji systemu. W przeciwieństwie do bardziej powszechnego złośliwego oprogramowania, które koncentruje się na określonej kategorii informacji, Arcane atakuje wiele aplikacji, co czyni go poważnym problemem dla użytkowników, którzy polegają na grach, wiadomościach i usługach sieciowych.

Jak rozprzestrzenia się Arcane Stealer?

Podstawowa metoda dystrybucji Arcane Stealer obejmuje filmy na YouTube, które reklamują oszustwa w grze. Użytkownicy są wabieni do pobrania archiwum chronionego hasłem z linku podanego w opisie filmu. Po rozpakowaniu archiwum zawiera plik wsadowy (start.bat), który uruchamia łańcuch działań prowadzących do uruchomienia złośliwego oprogramowania.

Proces ten polega na użyciu programu PowerShell do pobrania innego archiwum, które zawiera dwa pliki wykonywalne. Jednym z nich jest górnik kryptowaluty, a drugim sam Arcane Stealer. Ponadto skrypt wsadowy wyłącza ochronę Windows SmartScreen, umożliwiając złośliwemu oprogramowaniu działanie bez wykrycia. Z czasem cyberprzestępcy dostosowali tę strategię, wcześniej używając innej odmiany złośliwego oprogramowania typu stealer o nazwie VGS, zanim pod koniec 2024 r. przeszli na Arcane.

Na czym polega Arcane Stealer?

Arcane Stealer ma wyjątkowo szeroki zakres zastosowań i obejmuje szereg zastosowań, w tym:

  • Klienci VPN : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, ProtonVPN, hidemy.name, PIA, CyberGhost, ExpressVPN.
  • Narzędzia sieciowe : ngrok, Playit, Cyberduck, FileZilla, DynDNS.
  • Aplikacje do przesyłania wiadomości : ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber.
  • Klienci poczty e-mail : Microsoft Outlook.
  • Platformy gier : Riot Client, Epic Games, Steam, Ubisoft Connect, Roblox, Battle.net i różni klienci Minecraft.
  • Portfele kryptowalut : Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi.

Oprócz gromadzenia danych uwierzytelniających i poufnych danych, Arcane Stealer wykonuje zrzuty ekranu zainfekowanych systemów, zapisuje działające procesy i wyodrębnia zapisane dane uwierzytelniające sieci Wi-Fi.

W jaki sposób Arcane Stealer kradnie informacje?

Nowoczesne przeglądarki wykorzystują techniki szyfrowania do zabezpieczania poufnych danych, takich jak zapisane hasła i pliki cookie. Arcane Stealer wykorzystuje Windows Data Protection API (DPAPI) do pobierania tych kluczy szyfrowania. Jednak to, co sprawia, że Arcane jest szczególnie godne uwagi, to wykorzystanie wbudowanego narzędzia o nazwie Xaitax, które łamie klucze szyfrowania przeglądarki, umożliwiając złośliwemu oprogramowaniu dostęp do przechowywanych danych uwierzytelniających.

Ponadto złośliwe oprogramowanie wykorzystuje funkcję debugowania do wyodrębniania plików cookie z przeglądarek opartych na Chromium poprzez uruchomienie kopii przeglądarki za pośrednictwem portu debugowania. Zapewnia to atakującym stały dostęp do sesji użytkowników, potencjalnie omijając ochronę uwierzytelniania wieloskładnikowego (MFA) .

Kto jest celem ataków?

Chociaż kampania wydaje się być skupiona głównie na użytkownikach rosyjskojęzycznych, szczególnie tych z Rosji, Białorusi i Kazachstanu, nie ma gwarancji, że Arcane Stealer pozostanie ograniczony do tych regionów. Zdolność adaptacji cyberprzestępców oznacza, że metody dystrybucji i docelowe grupy demograficzne mogą się zmieniać w czasie.

Konsekwencje Złodzieja Arkanów

Konsekwencje tego złośliwego oprogramowania są znaczące. Kradnąc dane uwierzytelniające do kont gier, platform wiadomości i portfeli kryptowalutowych, atakujący mogą dopuszczać się kradzieży tożsamości, oszustw i nieautoryzowanych transakcji. Ponadto, naruszone dane uwierzytelniające VPN mogą zostać wykorzystane do uzyskania dostępu do sieci korporacyjnych, zwiększając ryzyko dalszych cyberataków.

Ponadto obecność górnika kryptowaluty obok złodzieja wskazuje, że atakujący są również zainteresowani czerpaniem zysków z zainfekowanych systemów poprzez wykorzystanie ich zasobów obliczeniowych.

Ewoluujący krajobraz zagrożeń

Cyberprzestępcy zawsze udoskonalają swoje taktyki, aby uniknąć wykrycia i zmaksymalizować swój sukces. Wprowadzenie ArcanaLoadera, ładowarki ukrytej jako program do pobierania kodów do gier, jest kolejnym przykładem tej adaptowalności. Zamiast dostarczać użytkownikom kody do gier, potajemnie instaluje Arcane Stealer, pokazując, jak atakujący wykorzystują zaufanie użytkowników do skutecznej dystrybucji złośliwego oprogramowania.

Jak chronić się przed złodziejem Arcane

Biorąc pod uwagę złożoność Arcane Stealer, konieczne jest wdrożenie najlepszych praktyk w celu zminimalizowania ryzyka infekcji:

  1. Unikaj pobierania plików z niezweryfikowanych źródeł : Zachowaj ostrożność w przypadku filmów na YouTube i stron internetowych promujących oszustwa w grach lub inne darmowe oprogramowanie.
  2. Włączaj funkcje zabezpieczeń : Funkcja Windows SmartScreen i inne funkcje zabezpieczeń mają na celu blokowanie pobierania złośliwych plików. Ich wyłączenie sprawia, że systemy stają się podatne na ataki.
  3. Stosuj uwierzytelnianie wieloskładnikowe (MFA) : Nawet jeśli dane uwierzytelniające zostaną skradzione, MFA może zapewnić dodatkową warstwę ochrony przed nieautoryzowanym dostępem.
  4. Regularna aktualizacja oprogramowania : Aktualizowanie systemów operacyjnych, przeglądarek i narzędzi zabezpieczających może pomóc w ochronie przed znanymi lukami w zabezpieczeniach.
  5. Monitorowanie aktywności konta : Częste sprawdzanie kont do gier, poczty e-mail i finansów może pomóc we wczesnym wykrywaniu podejrzanej aktywności.
  6. Korzystaj z renomowanego oprogramowania antywirusowego : Zaawansowane rozwiązania zabezpieczające potrafią identyfikować i blokować złośliwe oprogramowanie zanim zdąży się uruchomić.

Ostatnie przemyślenia

Arcane Stealer pokazuje, jak cyberprzestępcy wciąż ewoluują, stosując zwodnicze taktyki, aby atakować niczego niepodejrzewających użytkowników. Jego rozbudowane możliwości gromadzenia danych sprawiają, że stanowi on poważne zagrożenie, szczególnie dla osób zaangażowanych w gry, kryptowaluty i komunikację online. Dzięki pozostawaniu poinformowanym i przyjmowaniu proaktywnych środków bezpieczeństwa użytkownicy mogą zmniejszyć ryzyko takich zagrożeń.

Do Willa
March 24, 2025
Złośliwe oprogramowanie, Trojan
Polski
March 24, 2025
Złośliwe oprogramowanie, Trojan

Popularne posty

Co to jest plik OperaGXSetup.exe i czy jest złośliwy?

11 months temu

Eporner.com i dlaczego jego nadmierna liczba wyskakujących...

12 days temu

Uwaga: ktoś dodał Cię jako oszustwo związane z e-mailem...

10 months temu

HackTool:Win32/Crack: Złośliwe zagrożenie, które może poważnie...

7 months temu

Potencjalnie poważne zagrożenie: Trojan:Win32/Suschil!rfn

19 days temu

Czym jest zagrożenie związane z koniem trojańskim Packunwan i...

11 months temu
Polski
Ładowanie...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Dom

Produkty

Cyclonis Password Manager Cyclonis World Time

Wsparcie

Pliki pomocy FAQ Downloads Inquiries & Support

Firma

O nas Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Polityka prywatności Polityka Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows jest znakiem towarowym firmy Microsoft, zarejestrowanym w Stanach Zjednoczonych i innych krajach.
Mac, iPhone, iPad i App Store są znakami towarowymi firmy Apple Inc., zarejestrowanymi w Stanach Zjednoczonych i innych krajach.
iOS jest zastrzeżonym znakiem towarowym firmy Cisco Systems, Inc. i/lub jej oddziałów w Stanach Zjednoczonych i niektórych innych krajach.
Android i Google Play są znakami towarowymi firmy Google LLC.