Hackers usam cheats de jogos no YouTube para espalhar o malware Arcane Stealer

Vídeos no YouTube promovendo cheats para jogos estão sendo usados para disseminar um malware do tipo stealer até então não documentado, chamado Arcane, possivelmente visando usuários de língua russa.

"O que torna esse malware intrigante é a quantidade de informações que ele coleta", afirmou a Kaspersky em uma análise. "Ele rouba dados de contas de clientes de VPN e plataformas de jogos, além de diversas ferramentas de rede, como ngrok, Playit, Cyberduck, FileZilla e DynDNS."

O ataque se dá por meio de links compartilhados em vídeos do YouTube, que levam a um arquivo compactado protegido por senha. Ao ser aberto, o arquivo extrai um script start.bat, responsável por baixar outro arquivo compactado via PowerShell.

Esse script então usa o PowerShell para executar dois arquivos embutidos no novo arquivo baixado, além de desativar a proteção do Windows SmartScreen e excluir exceções de filtragem de SmartScreen para todas as pastas raiz do sistema.

Entre os dois arquivos executáveis, um é um minerador de criptomoedas e o outro é um malware do tipo stealer chamado VGS, uma variante do Phemedrone Stealer. No entanto, desde novembro de 2024, foi identificado que os ataques passaram a substituir o VGS pelo Arcane.

"Embora grande parte do código tenha sido reaproveitada de outros stealers, não conseguimos atribuí-lo a nenhuma família conhecida", observou a empresa de segurança cibernética russa.

Além de roubar credenciais de login, senhas, dados de cartões de crédito e cookies de navegadores baseados em Chromium e Gecko, o Arcane também é capaz de coletar informações detalhadas do sistema, arquivos de configuração e dados de conta de diversas aplicações, incluindo:

• Clientes de VPN: OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost e ExpressVPN

• Ferramentas de rede: ngrok, Playit, Cyberduck, FileZilla e DynDNS

• Aplicativos de mensagens: ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber e Viber

• Clientes de e-mail: Microsoft Outlook

• Clientes e serviços de jogos: Riot Client, Epic, Steam, Ubisoft Connect (ex-Uplay), Roblox, Battle.net e clientes de Minecraft

• Carteiras de criptomoedas: Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda e Coinomi

O Arcane também foi projetado para capturar capturas de tela do dispositivo infectado, listar processos em execução e recuperar redes Wi-Fi salvas com suas respectivas senhas.

"A maioria dos navegadores gera chaves únicas para criptografar dados sensíveis armazenados, como logins, senhas e cookies", explicou a Kaspersky. "O Arcane usa a Data Protection API (DPAPI) para obter essas chaves, o que é uma prática comum em stealers."

"Mas o Arcane também contém um executável da ferramenta Xaitax, que ele usa para quebrar chaves de criptografia dos navegadores. Para isso, o malware extrai o utilitário para o disco e o executa de forma oculta, coletando todas as chaves necessárias a partir da saída do console."

Além dessas capacidades, o malware implementa um método alternativo para extrair cookies de navegadores baseados em Chromium, iniciando uma cópia do navegador por meio de uma porta de depuração.

Os hackers por trás dessa campanha expandiram suas operações, introduzindo um carregador chamado ArcanaLoader, que supostamente baixa os cheats para jogos, mas na realidade instala o malware Arcane. Rússia, Belarus e Cazaquistão surgiram como os principais alvos dessa campanha.

"O que torna essa campanha particularmente interessante é a flexibilidade dos hackers, que estão sempre atualizando suas ferramentas e métodos de distribuição", destacou a Kaspersky. "Além disso, o próprio Arcane é fascinante pela diversidade de dados que coleta e pelas técnicas empregadas para extrair as informações desejadas."

Via - THN