В конце 2024 года наши эксперты обнаружили новый стилер Arcane — он умеет собирать множество различных данных с зараженного устройства. Злоумышленники пошли дальше и выпустили загрузчик ArcanaLoader, который якобы скачивает читы, кряки и прочие «полезности» для геймеров, а на деле заражает устройство стилером Arcane. Кажется, что с креативом у них все очень плохо, но это касается только названий. Схема распространения трояна и сама идея довольно-таки оригинальны.
Надеемся, вы уже знаете, что не нужно скачивать все подряд из ссылок под видео на YouTube? Еще нет? Тогда читайте эту историю.
Оглавление
Как распространяют стилер Arcane
Вредоносная кампания, в которой мы обнаружили стилер Arcane, была активна еще до его появления на свет. Проще говоря: сначала злоумышленники распространяли другие вредоносы, а потом заменили их на Arcane.
Как выглядела схема. Ссылки на запароленный архив с вредоносным содержимым располагались под YouTube-роликами с рекламой читов для игр. В архиве всегда был вовсе не подозрительный BATCH-файл start.bat. Функциональность его сводилась к запуску PowerShell для скачивания еще одного запароленного архива, внутри которого лежали два исполняемых файла: майнер и стилер VGS. Вот им-то на смену и пришел Arcane. Новый стилер сначала продвигали точно так же: ролик, первый вредоносный архив, затем второй — и троян на устройстве жертвы.
Спустя несколько месяцев злоумышленники усовершенствовали схему и к видео на YouTube стали прикладывать ссылку на ArcanaLoader — загрузчик с графическим интерфейсом, нужный якобы для скачивания и запуска читов, кряков и прочего подобного ПО. На самом деле ArcanaLoader заражал устройство стилером Arcane.
Одним загрузчиком дело не ограничилось — вдобавок к нему появился свой сервер в Discord. Его мошенники используют в том числе для вербовки ютуберов, которые должны ставить ссылки на ArcanaLoader в описания под своими роликами. Критерии отбора не слишком жесткие: как минимум 600 подписчиков, более 1500 просмотров и два опубликованных видео со ссылками на загрузчик. За это обещают новую роль на сервере, возможность отправлять свои видео в чат, мгновенное добавление желанных читов в загрузчик и возможную зарплату в рублях за высокий трафик. Получил ли хоть кто-то из невольных распространителей вредоносов выплаты на свой кошелек — неизвестно.
Все общение на сервере ArcanaLoader в Discord происходит на русском языке, а наша телеметрия фиксирует наибольшее количество жертв стилера на территории России, Беларуси и Казахстана. То есть под прицелом Arcane в основном русскоязычные геймеры.
Чем опасен стилер Arcane
Стилерами называют такие вредоносы, который крадут логины-пароли и прочую секретную информацию и отправляют их злоумышленникам. Полученная информация помогает им получать доступы к аккаунтам в играх, соцсетях и так далее. Что касается Arcane, то его возможности постоянно меняются — кибернегодяи активно обновляют код стилера. На момент публикации материала Arcane умел «золотую классику»: логины, пароли, данные платежных карт. Основной источник информации для стилера — браузеры на основе движков Chromium и Gecko, именно поэтому мы не рекомендуем хранить такую конфиденциальную информацию в браузерах, лучше использовать проверенный менеджер паролей.
В стилере также реализован дополнительный метод извлечения куки-файлов из браузеров на базе Chromium, а с помощью украденных куки можно сделать много неприятного, например угнать YouTube-канал. Как именно это работает — читайте в исследовании Securelist.
Помимо данных из браузера, Arcane крадет файлы конфигурации, информацию о настройках и аккаунтах из следующих приложений.
VPN-клиенты: OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN.
Сетевые клиенты и утилиты: Ngrok, PLAYit, Cyberduck, FileZilla, DynDns.
Мессенджеры: ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber.
Почтовые клиенты: Outlook.
Игровые клиенты и сервисы: Riot Client, Epic Games, Steam, Ubisoft Connect, Roblox, Battle.net, различные клиенты Minecraft.
Криптокошельки: Zcash, Armory, Bytecoin, Jaxx Wallet, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi.
Список впечатляет, не так ли? А вдобавок к нему — еще и различная системная информация. Стилер Arcane расскажет злоумышленникам, какая версия ОС и когда была установлена на устройстве, поделится ключом активации Windows, украденными данными про оборудование зараженной системы, скриншотами с устройства, списком запущенных процессов и паролями к сохраненным Wi-Fi-сетям.
Как защититься от Arcane
Злоумышленники начинали с того, что просто ставили ссылку на вредоносный архив под видео на YouTube, а в итоге организовали собственный сервер в Discord и создали загрузчик с графическим интерфейсом. Разумеется, все эти действия нужны были для придания кампании мнимой легитимности. Какие выводы можно сделать? Кибергады сегодня очень гибкие: они быстро адаптируются, меняют одни схемы распространения на другие, поэтому сейчас нужно быть внимательным как никогда.
Не скачивайте никакие файлы из описаний YouTube-роликов. Практика показывает, что даже проверенные блогеры порой, сами того не зная, могут распространять троянов.
Защитите свое устройство надежным защитным решением, которое вовремя обнаружит и обезвредит стилер Arcane – и другие.
Не храните логины, пароли и банковскую информацию в браузерах. Это хоть и удобный, но очень рискованный способ хранения настолько важных данных. Доверьте их Kaspersky Password Manager — запомните один, главный, пароль, а об остальном позаботимся мы.
С подозрением относитесь к читам, модам и крякам. Особенно для Minecraft и Roblox — любителей этих игр злоумышленники атакуют чаще других.
Если вам интересно, какие еще бывают стилеры и что они умеют, то не пропустите эти посты:
Стилер под видом приглашения на свадьбу
Banshee: стилер, который охотится за пользователями macOS
Super Mario и супермайнеры: игра со встроенными зловредами
Захват канала на YouTube с помощью ворованных cookie
…и многие другие.
Подписывайтесь на наш блог и читайте в нашем ТГ-канале Kaspersky, чтобы быть в курсе всех новых угроз в мире кибербезопасности. А также делитесь этим постом с теми, кто активно играет в игры, но пока еще не так хорошо ориентируется в цифровом пространстве.
Блог Касперского