Um novo malware de roubo de informações chamado Arcane está roubando extensos dados de usuários, incluindo credenciais de contas VPN, clientes de jogos, aplicativos de mensagens e informações armazenadas em navegadores web.
De acordo com a Kaspersky, o malware não tem links ou códigos que se sobrepõem ao Arcane Stealer V, que tem circulado na dark web por anos.
A campanha do malware Arcane começou em novembro de 2024, passando por várias etapas evolutivas, incluindo substituições de payload primário.
Todas as conversas e posts públicos de seus operadores estão em russo, com a telemetria da Kaspersky mostrando que a maioria das infecções pelo Arcane estão na Rússia, Bielorrússia e Cazaquistão.
Isso é particularmente notável, já que a maioria dos agentes de ameaças baseados na Rússia tipicamente evita visar usuários dentro do país e outras nações da CEI para evitar conflitos com as autoridades locais.
A campanha que distribui o Arcane Stealer conta com vídeos no YouTube promovendo cheats e cracks para jogos, enganando usuários para seguirem um link para baixar um arquivo em forma de um arquivo com senha.
Esses arquivos continham um script 'start.bat' fortemente ofuscado que buscava um segundo arquivo com senha contendo executáveis maliciosos.
Os arquivos baixados adicionam uma exceção ao filtro SmartScreen do Windows Defender para todas as pastas raiz dos drives ou o desativam completamente através de modificações no Registro do Windows.
Anteriormente, os ataques usavam outra família de malware stealer chamada VGS, uma versão renomeada do trojan Phemedrone, mas eles mudaram para o Arcane em novembro de 2024.
A Kaspersky também encontrou mudanças recentes no método de distribuição, incluindo o uso de um downloader de software falso, supostamente para cracks e cheats de jogos populares, chamado ArcanaLoader.
O ArcanaLoader foi fortemente promovido no YouTube e no Discord, com os operadores até convidando criadores de conteúdo para promovê-lo em seus blogs/vídeos por um preço.
A Kaspersky comenta que o amplo roubo de dados feito pelo Arcane o faz se destacar no espaço populoso de infostealers.
Primeiramente, ele perfila o sistema infectado, roubando detalhes de hardware e software tais como versão do OS, detalhes de CPU e GPU, antivírus instalados e navegadores.
A versão atual do malware visa dados, configurações e arquivos de configuração das seguintes aplicações:
Clientes VPN: OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN.
Ferramentas de Rede: ngrok, Playit, Cyberduck, FileZilla, DynDNS
Mensageiros: ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber
Clientes de Email: Outlook
Clientes de Jogos: Riot Client, Epic, Steam, Ubisoft Connect (ex-Uplay), Roblox, Battle.net, vários clientes de Minecraft
Carteiras de Criptomoedas: Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi
Navegadores Web: Logins salvos, senhas e cookies (para Gmail, Google Drive, Google Photos, Steam, YouTube, Twitter, Roblox) de navegadores baseados em Chromium.
O Arcane também captura capturas de tela que podem revelar informações sensíveis sobre o que você está fazendo no computador e recupera senhas salvas de redes Wi-Fi.
Apesar do Arcane atualmente ter um alvo específico, seus operadores poderiam expandi-lo para cobrir países ou temas adicionais.
Ser infectado por um infostealer é devastador, levando a fraude financeira, extorsão e ataques futuros.
Limpar após esses ataques consome muito tempo, pois você precisa mudar as senhas em todos os websites e aplicativos que usa e garantir que eles não estejam comprometidos.
Portanto, os usuários devem sempre ter em mente os riscos de baixar ferramentas piratas e de cheats sem assinatura.
O risco dessas ferramentas é alto demais, e elas devem ser completamente evitadas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...