Вредоносное ПО Arcane Stealer: взгляд на эту коварную угрозу

Штамм вредоносного ПО, известный как Arcane Stealer, нацелен на ничего не подозревающих пользователей через видеоролики YouTube , которые продвигают игровые читы. Это ранее недокументированное вредоносное ПО-вор привлекло внимание исследователей безопасности из-за огромного объема собираемой им информации и сложных методов, которые он использует.

Что такое Arcane Stealer?

Arcane Stealer — это тип вредоносного ПО для кражи информации, разработанный для извлечения широкого спектра пользовательских данных, включая учетные данные для входа, файлы cookie, информацию о кредитных картах и сведения о конфигурации системы. В отличие от более распространенных вредоносных программ, которые фокусируются на определенной категории информации, Arcane нацелен на несколько приложений, что делает его серьезной проблемой для пользователей, которые полагаются на игры, обмен сообщениями и сетевые сервисы.

Как распространяется Arcane Stealer?

Основной метод распространения Arcane Stealer — видеоролики на YouTube, рекламирующие игровые читы. Пользователей заманивают загрузить защищенный паролем архив по ссылке, указанной в описании видео. После извлечения архив содержит пакетный файл (start.bat), который запускает цепочку действий, приводящих к выполнению вредоносного ПО.

Этот процесс включает использование PowerShell для загрузки другого архива, который содержит два исполняемых файла. Один из них — майнер криптовалюты, а другой — сам Arcane Stealer. Кроме того, пакетный скрипт отключает защиту Windows SmartScreen, позволяя вредоносному ПО работать незамеченным. Со временем киберпреступники адаптировали эту стратегию, ранее используя другой вариант вредоносного ПО-кральщика под названием VGS, прежде чем перейти на Arcane в конце 2024 года.

На что нацелен Arcane Stealer?

Arcane Stealer имеет исключительно широкую сферу применения и предназначен для самых разных приложений, включая:

• VPN-клиенты : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, ProtonVPN, hidemy.name, PIA, CyberGhost, ExpressVPN.
• Сетевые утилиты : ngrok, Playit, Cyberduck, FileZilla, DynDNS.
• Приложения для обмена сообщениями : ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber.
• Почтовые клиенты : Microsoft Outlook.
• Игровые платформы : Riot Client, Epic Games, Steam, Ubisoft Connect, Roblox, Battle.net и различные клиенты Minecraft.
• Криптовалютные кошельки : Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi.

Помимо сбора учетных данных и конфиденциальных данных, Arcane Stealer делает снимки экрана зараженных систем, записывает запущенные процессы и извлекает сохраненные учетные данные сетей Wi-Fi.

Как Arcane Stealer крадет информацию?

Современные браузеры используют методы шифрования для защиты конфиденциальных данных, таких как сохраненные пароли и файлы cookie. Arcane Stealer использует API защиты данных Windows (DPAPI) для извлечения этих ключей шифрования. Однако то, что делает Arcane особенно примечательным, это использование встроенной утилиты под названием Xaitax, которая взламывает ключи шифрования браузера, позволяя вредоносному ПО получать доступ к сохраненным учетным данным.

Кроме того, вредоносная программа использует функцию отладки для извлечения файлов cookie из браузеров на базе Chromium путем запуска копии браузера через порт отладки. Это обеспечивает злоумышленникам постоянный доступ к сеансам пользователя, потенциально обходя защиту многофакторной аутентификации (MFA) .

Кто является целью?

Хотя кампания, по-видимому, в первую очередь ориентирована на русскоязычных пользователей, особенно в России, Беларуси и Казахстане, нет никаких гарантий, что Arcane Stealer останется ограниченным этими регионами. Адаптивность киберпреступников означает, что методы распространения и целевая демографическая группа могут со временем меняться.

Последствия Arcane Stealer

Последствия этого вредоносного ПО значительны. Похищая учетные данные для игровых аккаунтов, платформ обмена сообщениями и криптовалютных кошельков, злоумышленники могут заниматься кражей личных данных, мошенничеством и несанкционированными транзакциями. Кроме того, скомпрометированные учетные данные VPN могут использоваться для получения доступа к корпоративным сетям, что повышает риск дальнейших кибератак.

Более того, присутствие майнера криптовалюты рядом с похитителем указывает на то, что злоумышленники также заинтересованы в получении прибыли от зараженных систем, используя их вычислительные ресурсы.

Изменение ландшафта угроз

Киберпреступники всегда совершенствуют свои тактики, чтобы избежать обнаружения и максимизировать свой успех. Внедрение ArcanaLoader, загрузчика, замаскированного под загрузчик игровых читов, еще раз иллюстрирует эту адаптивность. Вместо того, чтобы предоставлять пользователям игровые читы, он скрытно устанавливает Arcane Stealer, демонстрируя, как злоумышленники используют доверие пользователей для эффективного распространения вредоносного ПО.

Как защититься от Arcane Stealer

Учитывая сложность Arcane Stealer, необходимо принять передовые методы для минимизации риска заражения:

1. Избегайте загрузки файлов из непроверенных источников : будьте осторожны с видеороликами на YouTube и веб-сайтами, которые рекламируют игровые читы или другое бесплатное программное обеспечение.
2. Не выключайте функции безопасности : Windows SmartScreen и другие функции безопасности предназначены для блокировки вредоносных загрузок. Их отключение делает систему уязвимой.
3. Используйте многофакторную аутентификацию (MFA) : даже в случае кражи учетных данных MFA может обеспечить дополнительный уровень безопасности от несанкционированного доступа.
4. Регулярно обновляйте программное обеспечение : поддержание операционных систем, браузеров и средств безопасности в актуальном состоянии может помочь в защите от известных уязвимостей.
5. Отслеживайте активность аккаунта : частые проверки игровых, электронных и финансовых аккаунтов могут помочь обнаружить подозрительную активность на ранней стадии.
6. Используйте надежное антивирусное программное обеспечение : передовые решения по безопасности могут обнаружить и остановить вредоносное ПО до того, как оно сможет выполниться.

Заключительные мысли

Arcane Stealer демонстрирует, как киберпреступники продолжают развиваться, используя обманные тактики для атаки на ничего не подозревающих пользователей. Его обширные возможности сбора данных делают его значительной угрозой, особенно для тех, кто занимается играми, криптовалютой и онлайн-коммуникациями. Оставаясь в курсе событий и принимая упреждающие меры безопасности, пользователи могут снизить свои риски таких угроз.