YouTube -video’s die game cheats promoten, worden gebruikt om een eerder niet -papieren Stealer -malware te leveren, genaamd Geheimzinnig Waarschijnlijk gericht op Russisch sprekende gebruikers.
“Wat intrigerend is aan deze malware is hoeveel het verzamelt,” zei Kaspersky in een analyse. “Het grijpt accountinformatie van VPN- en gaming -clients, en allerlei netwerkhulpprogramma’s zoals NGROK, Playit, Cyberduck, Filezilla en Dyndns.”
De aanvalsketens omvatten het delen van links naar een wachtwoord beveiligd archief op YouTube-video’s, die, wanneer geopend, een start.bat-batchbestand uitpakt dat verantwoordelijk is voor het ophalen van een ander archiefbestand via PowerShell.
Het batchbestand maakt vervolgens gebruik van PowerShell om twee uitvoerbare bestanden te starten die zijn ingebed in het nieuw gedownloade archief, terwijl ook Windows SmartScreen -bescherming en elke schijfrootmap wordt uitgeschakeld op SmartScreen -filteruitzonderingen.
Van de twee binaries is de ene een cryptocurrency -mijnwerker en de andere is een stealer genaamd VGS die een variant is van de phemedrone -stealer -malware. Vanaf november 2024 zijn de aanvallen gevonden om VGS te vervangen door Arcane.
“Hoewel veel ervan werd geleend van andere stealers, konden we het niet toeschrijven aan een van de bekende families,” merkte het Russische Cybersecurity Company op.
Naast het stelen van inloggegevens, wachtwoorden, creditcardgegevens en cookies van verschillende gebaseerde browsers op chroom- en gekko, is Arcane uitgerust om uitgebreide systeemgegevens te oogsten, evenals configuratiebestanden, instellingen en accountinformatie van verschillende apps zoals volgt-
- VPN -clients: OpenVPN, Mullvad, Nordvpn, IpVanish, Surfshark, Proton, Hidemy.Name, Pia, Cyberghost en ExpressVPN
- Netwerkclients en hulpprogramma’s: NGROK, Playit, Cyberduck, Filezilla en Dyndns
- Messaging Apps: ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber en Viber
- E -mailclients: Microsoft Outlook
- Gaming-klanten en -services: Riot Client, Epic, Steam, Ubisoft Connect (ex-UPLAY), Roblox, Battle.net en verschillende Minecraft-clients
- Crypto -portefeuilles: Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda en Coinomi
Bovendien is Arcane ontworpen om screenshots van het geïnfecteerde apparaat te maken, hangende processen op te slaan en opgeslagen Wi-Fi-netwerken en hun wachtwoorden te vermelden.
“De meeste browsers genereren unieke sleutels voor het coderen van gevoelige gegevens die ze opslaan, zoals aanmeldingen, wachtwoorden, cookies, enz.”, Zei Kaspersky. “Arcane gebruikt de gegevensbeschermings -API (DPAPI) om deze sleutels te verkrijgen, die typerend is voor stealers.”
“Maar Arcane bevat ook een uitvoerbaar bestand van het Xaitax -hulpprogramma, dat het gebruikt om browsersleutels te kraken. Om dit te doen, wordt het hulpprogramma op schijf gevallen en heimelijk gelanceerd, en de Stealer verkrijgt alle sleutels die het nodig heeft uit zijn console -uitvoer.”
Als toevoeging aan zijn mogelijkheden, implementeert de Stealer-malware een afzonderlijke methode voor het extraheren van cookies van chroom-gebaseerde browsers die een kopie van de browser lanceren via een foutopsporingspoort.
De niet -geïdentificeerde dreigingsacteurs achter de operatie hebben sindsdien hun aanbod uitgebreid met een lader genaamd Arcanaloader die ogenschijnlijk bedoeld is om game cheats te downloaden, maar in plaats daarvan de Stealer -malware levert. Rusland, Wit -Rusland en Kazachstan zijn naar voren gekomen als de primaire doelen van de campagne.
“Wat interessant is aan deze specifieke campagne is dat het illustreert hoe flexibele cybercriminelen zijn, altijd hun tools bijwerken en de methoden om ze te verspreiden,” zei Kasperksy. “Bovendien is de geheimzinnige stealer zelf fascinerend vanwege alle verschillende gegevens die het verzamelt en de trucs die het gebruikt om de informatie te extraheren die de aanvallers willen.”
