Arcane Stealer 惡意軟體：深入了解這種陰險的威脅

一種名為 Arcane Stealer 的惡意軟體透過宣傳遊戲作弊行為的YouTube影片瞄準毫無戒心的用戶。這種先前未記錄的竊取惡意軟體由於其收集的資訊量龐大且採用的技術複雜而引起了安全研究人員的注意。

秘法竊取者是什麼？

Arcane Stealer 是一種資訊竊取惡意軟體，旨在竊取各種用戶數據，包括登入憑證、cookie、信用卡資訊和系統配置詳細資訊。與專注於特定類別資訊的更常見惡意軟體不同，Arcane 針對多種應用程序，這對依賴遊戲、訊息和網路服務的用戶來說是一個重大問題。

秘法竊取者如何傳播？

Arcane Stealer 的主要傳播方式是透過 YouTube 影片宣傳遊戲作弊手段。用戶被誘導從視頻描述中給出的鏈接下載受密碼保護的檔案。一旦提取出來，該檔案包含一個批次檔（start.bat），它會觸發一系列操作，導致惡意軟體的執行。

此過程涉及使用 PowerShell 下載另一個存檔，其中包含兩個可執行檔。其中一個是加密貨幣礦工，另一個是奧術竊取者本身。此外，批次腳本也會停用 Windows SmartScreen 保護，使惡意軟體不被發現地執行。隨著時間的推移，網路犯罪分子已經適應了這一策略，之前使用的是名為 VGS 的不同竊取惡意軟體變種，之後於 2024 年底改用 Arcane。

秘法竊取者的目標是什麼？

秘法竊取者的範圍非常廣泛，針對各種應用程序，包括：

• VPN 用戶端：OpenVPN、Mullvad、NordVPN、IPVanish、Surfshark、ProtonVPN、hidemy.name、PIA、CyberGhost、ExpressVPN。
• 網路實用程式：ngrok、Playit、Cyberduck、FileZilla、DynDNS。
• 訊息應用程式：ICQ、Tox、Skype、Pidgin、Signal、Element、Discord、Telegram、Jabber、Viber。
• 電子郵件用戶端：Microsoft Outlook。
• 遊戲平台：Riot Client、Epic Games、Steam、Ubisoft Connect、Roblox、Battle.net 和各種 Minecraft 用戶端。
• 加密貨幣錢包：Zcash、Armory、Bytecoin、Jaxx、Exodus、Ethereum、Electrum、Atomic、Guarda、Coinomi。

除了收集憑證和敏感資料之外，Arcane Stealer 還會截取受感染系統的螢幕截圖、記錄正在運行的進程並提取已保存的 Wi-Fi 網路憑證。

秘法竊取者如何竊取資訊？

現代瀏覽器使用加密技術來保護敏感數據，例如已儲存的密碼和 cookie。 Arcane Stealer 利用 Windows 資料保護 API (DPAPI) 來擷取這些加密金鑰。然而，Arcane 特別值得注意的是它使用名為 Xaitax 的嵌入式實用程序，該實用程式可以破解瀏覽器加密金鑰，從而允許惡意軟體存取儲存的憑證。

此外，該惡意軟體還採用偵錯功能，透過偵錯連接埠啟動瀏覽器副本，從基於 Chromium 的瀏覽器中提取 cookie。這為攻擊者提供了對使用者會話的持續存取權限，從而可能繞過多因素身份驗證 (MFA)保護。

誰成了攻擊目標？

雖然該活動似乎主要針對俄語用戶，特別是俄羅斯、白俄羅斯和哈薩克的用戶，但不能保證 Arcane Stealer 只會局限於這些地區。網路犯罪分子的適應性意味著傳播方式和目標群體會隨著時間而改變。

秘法竊取者的影響

該惡意軟體的影響十分重大。透過竊取遊戲帳戶、訊息平台和加密貨幣錢包的憑證，攻擊者可以進行身分盜竊、詐欺和未經授權的交易。此外，洩漏的 VPN 憑證可用於存取公司網絡，從而增加進一步遭受網路攻擊的風險。

此外，除了竊取者之外還存在加密貨幣礦工，這表明攻擊者還有興趣利用他們的計算資源從受感染的系統中獲利。

不斷演變的威脅情勢

網路犯罪分子總是改進他們的策略來逃避偵查並最大限度地獲得成功。偽裝成遊戲作弊下載程式的載入器 ArcanaLoader 的推出進一步體現了這種適應性。它沒有向用戶提供遊戲作弊工具，而是秘密安裝 Arcane Stealer，展示了攻擊者如何利用用戶信任來有效地傳播惡意軟體。

如何防範秘法竊取者

鑑於秘法竊取者的複雜性，必須採取最佳措施來最大程度地降低感染風險：

1. 避免從未經驗證的來源下載檔案：對宣傳遊戲作弊或其他免費軟體的 YouTube 影片和網站保持警惕。
2. 保持安全功能啟用：Windows SmartScreen 和其他安全功能旨在阻止惡意下載 - 停用它們會使系統變得脆弱。
3. 使用多因素身份驗證 (MFA) ：即使憑證被盜，MFA 也可以提供額外的安全層來防止未經授權的存取。
4. 定期更新軟體：保持作業系統、瀏覽器和安全工具為最新版本有助於防範已知漏洞。
5. 監控帳戶活動：頻繁檢查遊戲、電子郵件和金融帳戶可以幫助及早發現可疑活動。
6. 使用信譽良好的防毒軟體：先進的安全解決方案可以在惡意軟體執行之前識別並阻止它。

最後的想法

Arcane Stealer 強調了網路犯罪分子如何不斷進化，如何利用欺騙手段攻擊毫無戒心的使用者。其廣泛的數據收集能力使其成為重大威脅，特別是對於參與遊戲、加密貨幣和線上通訊的人來說。透過保持知情並採取主動的安全措施，使用者可以降低此類威脅的風險。