Arcane Stealer 恶意软件：深入了解这种阴险的威胁

一种名为 Arcane Stealer 的恶意软件通过宣传游戏作弊的YouTube视频瞄准毫无戒心的用户。这种之前未记录的窃取恶意软件因其收集的信息量巨大且采用的技术复杂而引起了安全研究人员的关注。

秘法窃取者是什么？

Arcane Stealer 是一种信息窃取恶意软件，旨在窃取各种用户数据，包括登录凭据、cookie、信用卡信息和系统配置详细信息。与专注于特定类别信息的更常见恶意软件不同，Arcane 针对多种应用程序，因此对于依赖游戏、消息传递和网络服务的用户来说，这是一个重大问题。

秘法窃取者如何传播？

Arcane Stealer 的主要传播方式是播放宣传游戏作弊手段的 YouTube 视频。用户被诱导从视频说明中给出的链接下载受密码保护的存档。解压后，存档包含一个批处理文件 (start.bat)，该文件会触发一系列操作，最终导致恶意软件的执行。

此过程涉及使用 PowerShell 下载另一个存档，其中包含两个可执行文件。其中一个是加密货币矿工，另一个是 Arcane Stealer 本身。此外，批处理脚本会禁用 Windows SmartScreen 保护，从而使恶意软件可以不被发现地运行。随着时间的推移，网络犯罪分子已经采用了这种策略，之前使用的是另一种名为 VGS 的窃取恶意软件变体，然后在 2024 年底改用 Arcane。

秘法窃取者的目标是什么？

秘法窃取者的范围非常广泛，针对各种应用程序，包括：

• VPN 客户端：OpenVPN、Mullvad、NordVPN、IPVanish、Surfshark、ProtonVPN、hidemy.name、PIA、CyberGhost、ExpressVPN。
• 网络实用程序：ngrok、Playit、Cyberduck、FileZilla、DynDNS。
• 消息应用程序：ICQ、Tox、Skype、Pidgin、Signal、Element、Discord、Telegram、Jabber、Viber。
• 电子邮件客户端：Microsoft Outlook。
• 游戏平台：Riot Client、Epic Games、Steam、Ubisoft Connect、Roblox、Battle.net 和各种 Minecraft 客户端。
• 加密货币钱包：Zcash、Armory、Bytecoin、Jaxx、Exodus、Ethereum、Electrum、Atomic、Guarda、Coinomi。

除了收集凭证和敏感数据之外，Arcane Stealer 还会截取受感染系统的屏幕截图、记录正在运行的进程并提取已保存的 Wi-Fi 网络凭证。

秘法窃取者如何窃取信息？

现代浏览器使用加密技术来保护敏感数据，例如已保存的密码和 Cookie。Arcane Stealer 利用 Windows 数据保护 API (DPAPI) 来检索这些加密密钥。然而，Arcane 特别值得注意的是它使用了一种名为 Xaitax 的嵌入式实用程序，它可以破解浏览器加密密钥，从而使恶意软件能够访问存储的凭据。

此外，该恶意软件还利用调试功能通过调试端口启动浏览器副本，从基于 Chromium 的浏览器中提取 Cookie。这为攻击者提供了对用户会话的持续访问，从而有可能绕过多因素身份验证 (MFA)保护。

谁成了攻击目标？

虽然该活动似乎主要针对俄语用户，尤其是俄罗斯、白俄罗斯和哈萨克斯坦的用户，但 Arcane Stealer 并不一定只局限于这些地区。网络犯罪分子的适应性意味着传播方法和目标人群可能会随着时间的推移而发生变化。

秘法窃取者的影响

这种恶意软件的影响非常严重。通过窃取游戏账户、消息平台和加密货币钱包的凭证，攻击者可以进行身份盗窃、欺诈和未经授权的交易。此外，被盗用的 VPN 凭证可用于访问公司网络，从而增加了进一步遭受网络攻击的风险。

此外，除了窃取者之外还存在加密货币矿工，这表明攻击者还有兴趣利用他们的计算资源从受感染的系统中获利。

不断演变的威胁形势

网络犯罪分子总是会改进他们的策略以逃避检测并最大限度地获得成功。ArcanaLoader（一种伪装成游戏作弊下载器的加载器）的出现进一步体现了这种适应性。它不会向用户提供游戏作弊程序，而是偷偷安装 Arcane Stealer，展示了攻击者如何利用用户信任来有效地传播恶意软件。

如何防范秘法窃取者

鉴于秘法窃取者的复杂性，必须采取最佳措施来最大程度地降低感染风险：

1. 避免从未经验证的来源下载文件：对宣传游戏作弊或其他免费软件的 YouTube 视频和网站保持警惕。
2. 保持安全功能启用：Windows SmartScreen 和其他安全功能旨在阻止恶意下载 - 禁用它们会使系统变得脆弱。
3. 使用多因素身份验证 (MFA) ：即使凭证被盗，MFA 也可以提供额外的安全层来防止未经授权的访问。
4. 定期更新软件：保持操作系统、浏览器和安全工具为最新版本有助于防范已知漏洞。
5. 监控账户活动：频繁检查游戏、电子邮件和金融账户可以帮助及早发现可疑活动。
6. 使用信誉良好的防病毒软件：先进的安全解决方案可以在恶意软件执行之前识别并阻止它。

最后的想法

Arcane Stealer 强调了网络犯罪分子如何不断演变，使用欺骗手段攻击毫无戒心的用户。其广泛的数据收集能力使其成为重大威胁，尤其是对于那些参与游戏、加密货币和在线通信的人来说。通过保持知情并采取主动的安全措施，用户可以降低此类威胁的风险。