Компанијата Kaspersky откри нов вид на малициозен софтвер кој се шири преку платформата YouTube.


Новооткриен малициозен софтвер за крадење информации наречен Arcane Stealer краде мноштво кориснички податоци, вклучувајќи детали за најавување за VPN сметки, клиенти на игри, апликации за пораки и информации за веб-прелистувачот. Малверот нема врска или преклопувачки код со Arcane Stealer V, малициозен софтвер кој циркулира на темната мрежа со години.

Кампањата за дистрибуција на Arcane Stealer се одвива на YouTube (но и на Discord), а малициозниот софтвер се шири преку видеа на платформата кои промовираат измами и кракнати игри. Корисниците се охрабруваат да кликнат на врската за преземање архива заштитена со лозинка, што на крајот завршува со инфицирање на нивниот уред со малициозен софтвер Arcane Stealer.

„Она што е интригантно за овој малициозен софтвер е колку податоци собира“, се вели во извештајот на Kaspersky, чии истражувачи го откриле Arcane Stealer.

Нападот започнува на YouTube со линк до архива заштитена со лозинка која, кога ќе се отвори, ја отпакува датотеката start.bat која презема друга архива заштитена со лозинка која содржи две извршни датотеки. Преземените датотеки ја оневозможуваат заштитата на Windows Defender SmartScreen.

Од двете датотеки, едната е за ископување криптовалути, а другата е крадецот на податоци VGS, кој е ребрендирана верзија на тројанецот Phemedrone. Истражувачите велат дека забележале дека од ноември 2024 година, VGS е заменет со Arcane, пренесува Informacija.rs.

Загрозени се и бројни други апликации

Покрај кражбата на ингеренциите за најавување, лозинките, информациите за кредитната картичка и колачињата од различни прелистувачи базирани на Chromium и Gecko, Arcane може да собира сеопфатни системски податоци, како и конфигурациски датотеки, поставки и информации за сметката од бројни апликации.

Само некои од апликациите од кои може да собира податоци се OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost и ExpressVPN; потоа, ngrok, Playit, Cyberduck, FileZilla и DynDNS; ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber и Viber; Microsoft Outlook; Riot Client, Epic, Steam, Ubisoft Connect, Roblox, Battle.net и Minecraft; и крипто паричници Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda и Coinomi.

Arcane исто така прави слики од екранот што може да откријат чувствителни информации за тоа што правите на вашиот компјутер и да презема зачувани лозинки за Wi-Fi.

Неидентификуваните напаѓачи кои стојат зад операцијата, исто така, неодамна го променија начинот на дистрибуција и сега користат лажен софтвер за преземање измами и кракнати игри наречени ArcanaLoader. Но, наместо ветеното, оваа програма го презема малициозниот софтвер Arcane.

Засега, Русија, Белорусија и Казахстан се примарни цели на кампањата. Ова е невообичаено, бидејќи повеќето сајбер-криминалци од Русија обично ги избегнуваат корисниците во земјата и другите земји од ЗНД за да избегнат проблеми со локалните власти. Сепак, иако Arcane моментално циркулира во наведените земји, неговите оператори би можеле да го променат ова во секое време и да ги прошират нападите во други земји.

„Arcane е фасцинантен поради сите различни податоци што ги собира и триковите што ги користи за да ги извлече информациите што ги сакаат напаѓачите“, се вели во извештајот на Kaspersky.

Инфекцијата со малициозен софтвер за крадење податоци како Arcane може да има катастрофални последици – од финансиска измама, до изнудување, до нови напади.

Чистењето на уредот по такви инфекции бара време бидејќи мора да ги промените лозинките на секоја веб-страница и апликација што ја користите и да проверите дали вашите лозинки се компромитирани. Полесно е да се воздржите од преземање пиратски и измамнички алатки. Ризикот од овие програми е преголем и тие треба целосно да се избегнуваат.