Video YouTube Mempromosikan cheat game digunakan untuk mengirimkan malware pencuri yang sebelumnya tidak berdokumen yang disebut Batin Kemungkinan menargetkan pengguna berbahasa Rusia.
“Yang menarik tentang malware ini adalah seberapa banyak yang dikumpulkan,” kata Kaspersky dalam sebuah analisis. “Ini mengambil informasi akun dari VPN dan klien game, dan semua jenis utilitas jaringan seperti Ngrok, Playit, Cyberduck, FileZilla, dan Dyndns.”
Rantai serangan melibatkan berbagi tautan ke arsip yang dilindungi kata sandi di video YouTube, yang, ketika dibuka, membongkar file batch start.bat yang bertanggung jawab untuk mengambil file arsip lain melalui PowerShell.
File batch kemudian menggunakan PowerShell untuk meluncurkan dua executable yang tertanam dalam arsip yang baru diunduh, sementara juga menonaktifkan Windows SmartScreen Protections dan setiap folder drive root ke pengecualian filter layar pintar.
Dari dua binari, satu adalah penambang cryptocurrency dan yang lainnya adalah pencuri yang dijuluki VGS yang merupakan varian dari malware pencuri Phemedrone. Pada November 2024, serangan telah ditemukan untuk menggantikan VG dengan misterius.
“Meskipun banyak dari itu dipinjam dari pencuri lain, kami tidak dapat mengaitkannya dengan keluarga yang dikenal,” kata perusahaan keamanan siber Rusia.
Selain mencuri kredensial login, kata sandi, data kartu kredit, dan cookie dari berbagai browser berbasis kromium dan tokek, Arcane dilengkapi untuk memanen data sistem yang komprehensif serta file konfigurasi, pengaturan, dan informasi akun dari beberapa aplikasi seperti berikut-
- Klien VPN: OpenVPN, Mullvad, Nordvpn, Ipvanish, Surfshark, Proton, Hidemy.name, Pia, Cyberghost, dan ExpressVPN
- Klien dan Utilitas Jaringan: Ngrok, PlayIt, Cyberduck, Filezilla, dan Dyndns
- Aplikasi Pesan: ICQ, TOX, Skype, Pidgin, Signal, Elemen, Perselisihan, Telegram, Jabber, dan Viber
- Klien Email: Microsoft Outlook
- Klien dan Layanan Gaming: Klien Riot, Epic, Steam, Ubisoft Connect (Ex-Uplay), Roblox, Battle.net, dan berbagai klien Minecraft
- Dompet Crypto: Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, dan Coinomi
Selain itu, Arcane dirancang untuk mengambil tangkapan layar dari perangkat yang terinfeksi, menyebutkan proses berjalan, dan daftar jaringan Wi-Fi yang disimpan dan kata sandi mereka.
“Sebagian besar browser menghasilkan kunci unik untuk mengenkripsi data sensitif yang mereka simpan, seperti login, kata sandi, cookie, dll.,” Kata Kaspersky. “Arcane menggunakan API Perlindungan Data (DPAPI) untuk mendapatkan kunci -kunci ini, yang khas dari pencuri.”
“Tapi Arcane juga berisi file yang dapat dieksekusi dari utilitas XIATAX, yang digunakan untuk memecahkan tombol browser. Untuk melakukan ini, utilitas dijatuhkan ke disk dan diluncurkan secara diam -diam, dan pencuri memperoleh semua kunci yang dibutuhkan dari output konsolnya.”
Menambah kemampuannya, malware pencuri mengimplementasikan metode terpisah untuk mengekstraksi cookie dari browser berbasis kromium yang meluncurkan salinan browser melalui port debug.
Aktor ancaman yang tidak dikenal di balik operasi telah memperluas penawaran mereka untuk memasukkan loader bernama Arcanaloader yang seolah -olah dimaksudkan untuk mengunduh cheat game, tetapi sebagai gantinya memberikan malware pencuri. Rusia, Belarus, dan Kazakhstan telah muncul sebagai target utama kampanye.
“Apa yang menarik dari kampanye khusus ini adalah bahwa ia menggambarkan betapa penjahat cyber yang fleksibel itu, selalu memperbarui alat mereka dan metode mendistribusikannya,” kata Kasperksy. “Selain itu, pencuri misterius itu sendiri sangat menarik karena semua data berbeda yang dikumpulkan dan trik yang digunakannya untuk mengekstrak informasi yang diinginkan para penyerang.”
