Новооткриениот малициозен софтвер за крадење информации, познат како Arcane Stealer, краде широк спектар на кориснички податоци, вклучувајќи информации за најавување на VPN сметки, игри, апликации за пораки и податоци за веб-прелистувачи.
Овој софтвер не е поврзан со Arcane Stealer V, постар и познат малициозен софтвер кој циркулира на темната мрежа со години.
Дистрибуцијата на Arcane Stealer се одвива преку YouTube (и Discord), каде малициозниот софтвер се шири преку видеа кои промовираат измами. Корисниците се поттикнуваат да кликнат на линкови кои водат до архиви заштитени со лозинка, што на крај води до инфицирање на нивниот уред со Arcane Stealer.
„Интригантно е колку многу податоци овој малициозен софтвер собира“, се наведува во извештајот на Kaspersky, кои ги откриле Arcane Stealer. Нападот започнува на YouTube со линк за преземање архиви заштитени со лозинка, која кога ќе се отвори ја отпакува датотеката start.bat која презема друга архивска датотека заштитена со лозинка, која пак содржи две извршни датотеки. Преземените датотеки ја онеспособуваат заштитата на Windows Defender SmartScreen.
Од двете датотеки, едната е за ископување криптовалути, а другата е крадецот на податоци VGS, ребрендирана верзија на тројанецот Фемедрон. Истражувачите истакнуваат дека од ноември 2024 година, VGS е заменет со Arcane. Покрај кражбата на најавни податоци, лозинки, информации за кредитни картички и колачиња од различни прелистувачи базирани на Chromium и Gecko, Arcane може да собере и сеопфатни системски податоци, конфигурациски датотеки, поставки и информации за сметки од бројни апликации.
Погодени се услуги како OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost и ExpressVPN; потоа ngrok, Playit, Cyberduck, FileZilla и DynDNS; апликации за пораки како ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber и Viber; Microsoft Outlook; игри како Riot Client, Epic, Steam, Ubisoft Connect, Roblox, Battle.net и Minecraft; како и крипто-паричници Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda и Coinomi.
Arcane исто така прави снимки од екранот кои може да откријат чувствителни податоци за активностите на корисникот и да преземе зачувани лозинки за Wi-Fi.
Неидентификуваните напаѓачи кои стојат зад овој напад, неодамна го промениле начинот на дистрибуција и сега користат лажен софтвер за преземање измами и криви игри, наречен ArcanaLoader. Наместо да ги исполни ветувањата, оваа програма презема Arcane.
За сега, Русија, Белорусија и Казахстан се главни цели на кампањата. Ова е невообичаено, бидејќи многу сајбер-криминалци од Русија обично ги избегнуваат овие земји и другите од ЗНД за да не се соочат со проблеми со локалните власти. Сепак, додека Arcane е присутен во овие земји, неговите оператори можат да го променат фокусот на кампањата и да ја прошират на други региони.
„Arcane е фасцинантен поради широкиот спектар на податоци што ги собира и техниките што ги користи за да ги извлече информациите што ги сакаат напаѓачите“, велат од Kaspersky.
Инфекцијата со малициозен софтвер за крадење податоци како Arcane може да има сериозни последици, од финансиска измама до изнудување и понатамошни напади.
Чистењето на уредот по вакви инфекции е долготраен процес, бидејќи треба да ги промените лозинките за сите веб-сајтови и апликации што ги користите, како и да проверите дали вашите лозинки се компромитирани. Полесно е да се воздржите од преземање пиратски и измамнички алатки. Ризикот од овие програми е премногу голем и тие треба целосно да се избегнуваат.
