Novi malver koji krade lozinke širi se preko YouTube-a

Opisi virusa, 21.03.2025, 12:00 PM

Novootkriveni malver za krađu informacija pod nazivom Arcane Stealer krade mnoštvo korisničkih podataka, uključujući podatke za prijavljivanje za VPN naloge, klijente igara, aplikacija za slanje poruka i informacije iz veb pregledača. Malver nema veze niti kod koji se preklapa sa Arcane Stealer V, malverom koji već godinama cirkuliše tamnim vebom.

Kampanja koja distribuira Arcane Stealer odvija se na YouTube-u (ali i Discordu), a malver se širi putem video snimaka na platformi koji promovišu varalice za igre i krekove. Korisnici se podstiču da kliknu na link za preuzimanje arhive zaštićene lozinkom a to se na kraju završava infekcijom uređaja malverom Arcane Stealer.

„Ono što je intrigantno u vezi sa ovim malverom je koliko podataka prikuplja“, navodi se u izveštaju kompanije Kaspersky čiji su istraživači otkrili Arcane Stealer.

Napad počinje na YouTube-u linkom za arhivu zaštićenu lozinkom koja, kada se otvori, raspakuje start.bat fajl koji preuzima drugu arhivu zaštićenu lozinkom koja sadrži dva izvršna fajla. Preuzeti fajlovi onemogućavaju zaštitu SmartScreen-a Windows Defender-a.

Od dva fajla, jedan je za rudarenje kriptovaluta, a drugi je kradljivac podataka VGS, koji je rebrendirana verzija trojanca Phemedrone. Istraživači kažu da su primetili da je od novembra 2024. VGS zamenjen sa Arcane.

Pored krađe podataka za prijavljivanje, lozinki, podataka o kreditnim karticama i kolačića iz različitih pretraživača baziranih na Chromium-u i Gecko-u, Arcane može da prikupi sveobuhvatne sistemske podatke, kao i konfiguracione fajlove, podešavanja i informacije o nalogu iz brojnih aplikacija kao što su OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost i ExpressVPN; zatim, ngrok, Playit, Cyberduck, FileZilla i DynDNS; ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber i Viber; Microsoft Outlook; Riot Client, Epic, Steam, Ubisoft Connect, Roblox, Battle.net i Minecraft; i kripto novčanici Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda i Coinomi.

Arcane takođe pravi snimke ekrana koji mogu otkriti osetljive informacije o tome šta radite na računaru i preuzima sačuvane lozinke za Wi-Fi mrežu.

Neidentifikovani napadači koji stoje iza operacije nedavno su promenili i metod distribucije i sada koriste lažni softver za preuzimanje varalica za igre i krekova pod nazivom ArcanaLoader. Ali umesto obećanog, ovaj program preuzima malver Arcane.

Za sada su Rusija, Belorusija i Kazahstan primarne mete kampanje. Ovo je neobično, pošto većina sajber kriminalaca iz Rusije obično izbegava korisnike u zemlji i drugim zemljama ZND da bi izbegli probleme sa lokalnim vlastima. Međutim, iako Arcane trenutno cirkuliše u navedenim zemljama, njegovi operateri bi mogli to da promene u svakom trenutku, i da napade prošire na druge zemlje.

„Arcane je fascinantan zbog svih različitih podataka koje prikuplja i trikova koje koristi da izvuče informacije koje napadači žele“, navodi se u izveštaju kompanije Kaspersky.

Infekcija malverom koji krade podatke kao što je Arcane može imati razorne posledice - od finansijskih prevara, preko iznude do novih napada. Čišćenje uređaja nakon ovakvih infekcija zahteva vreme jer morate i da promenite lozinke na svakom veb sajtu i u aplikaciji koju koristite i da proverite da li su lozinke kompromitovane. Lakše je uzdržati se od preuzimanja piratskih alata i alata za varanje. Rizik od ovih programa je preveliki i treba ih u potpunosti izbegavati.

Foto: Alexey Savchenko | Unsplash