I video di YouTube che promuovono i trucchi di gioco vengono utilizzati per fornire un malware di furto precedentemente privo di documenti chiamato Arcano Probabilmente indirizzare gli utenti di lingua russa.
“Ciò che è intrigante di questo malware è quanto raccoglie”, Kaspersky disse in un’analisi. “Affronta le informazioni dell’account da VPN e clienti di gioco e tutti i tipi di utilità di rete come NGROK, Playit, Cyberduck, Filezilla e Dyndns.”
Le catene di attacco prevedono la condivisione di collegamenti a un archivio protetto da password sui video di YouTube, che, se aperto, disimballano un file batch begin.bat che è responsabile del recupero di un altro file di archivio tramite PowerShell.
Il file batch utilizza quindi PowerShell per avviare due eseguibili incorporati all’interno dell’archivio appena scaricato, disabilitando anche le protezioni di Home windows SmartScreen e ogni cartella di root di guida per le eccezioni del filtro SmartScreen.
Dei due binari, uno è un minatore di criptovaluta e l’altro è un VGS soprannominato di furto che è una variante del Phemedrone Malware del furto. A novembre 2024, gli attacchi sono stati trovati per sostituire VGS con arcano.
“Sebbene gran parte di esso sia stato preso in prestito da altri furti, non abbiamo potuto attribuirlo a nessuna delle famiglie conosciute”, ha osservato la società di sicurezza informatica russa.
Oltre a rubare credenziali di accesso, password, dati della carta di credito e cookie da vari browser basati su cromo e geco, Arcane è attrezzato per raccogliere dati di sistema completi, nonché file di configurazione, impostazioni e informazioni sull’account da numerous app come i seguenti-
- Clienti VPN: OpenVPN, Mullvad, Nordvpn, Ipvanish, Surfshark, Proton, Hidemy.Identify, PIA, Cyberghost ed Expressvpn
- Clienti e servizi di rete di rete: NGROK, Playit, Cyberduck, Filezilla e Dyndns
- App di messaggistica: ICQ, Tox, Skype, Pidgin, Sign, Factor, Discord, Telegram, Jabber e Viber
- Clienti e -mail: Microsoft Outlook
- Clienti e servizi di gioco: shopper Riot, Epic, Steam, Ubisoft Join (ex-uplay), roblox, battle.internet e vari clienti Minecraft
- Crypto Walets: Zcash, Armory, Bytecoin, Jaxx, Esodo, Ethereum, Electrum, Atomic, Guarta e Coinomi
Inoltre, Arcane è progettata per fare schermate del dispositivo infetto, elencare i processi di esecuzione e elencare le reti Wi-Fi salvate e le loro password.
“La maggior parte dei browser genera chiavi uniche per crittografare dati sensibili che archiviano, come accessi, password, cookie, ecc.”, Ha detto Kaspersky. “Arcane utilizza l’API di protezione dei dati (DPAPI) per ottenere queste chiavi, che è tipica dei furti.”
“Ma Arcane contiene anche un file eseguibile dell’utilità XIATAX, che utilizza per rompere le chiavi del browser. Per fare ciò, l’utilità viene scendeva sul disco e lanciata in modo segreto e il furto ottiene tutte le chiavi di cui ha bisogno dalla sua uscita della console.”
Aggiungendo alle sue funzionalità, il malware Stealer implementa un metodo separato per estrarre i cookie da browser a base di cromo che lanciano una copia del browser attraverso una porta di debug.
Da allora gli attori delle minacce non identificate dietro l’operazione hanno ampliato le loro offerte per includere un caricatore di nome Arcanalader che è apparentemente destinato a scaricare trucchi di gioco, ma offre invece il malware del furto. Russia, Bielorussia e Kazakistan sono emersi come obiettivi principali della campagna.
“La cosa interessante di questa particolare campagna è che illustra quanto siano flessibili criminali informatici, aggiornando sempre i loro strumenti e i metodi per distribuirli”, ha detto Kasperksy. “Inoltre, il furto arcano stesso è affascinante a causa di tutti i diversi dati che raccoglie e i trucchi che utilizza per estrarre le informazioni che gli aggressori desiderano.”
