Cheaterzy z Rosji ukarani przez... Youtube. Wirus ukradł dane

​Badacze z firmy Kaspersky wykryli nową kampanię malware, w ramach której filmy na YouTube promujące cheaty do gier są wykorzystywane do dystrybucji malware o nazwie Arcane, prawdopodobnie skierowanego do osób rosyjskojęzycznych.

Ataki polegają na udostępnianiu linków do archiwum zabezpieczonego hasłem w filmach na YouTube. Po otwarciu archiwum, uruchamiany jest plik batch start.bat, który za pomocą PowerShell pobiera kolejne archiwum zawierające dwa pliki wykonywalne: koparkę kryptowalut oraz stealer VGS, będący wariantem malware Phemedrone Stealer. Od listopada 2024 roku VGS został zastąpiony przez Arcane.

Groźny malware atakuje użytkowników YouTube

Arcane kradnie dane logowania, hasła, informacje o kartach kredytowych i pliki cookie z różnych przeglądarek opartych na Chromium i Gecko. Ponadto, zbiera dane systemowe oraz informacje z aplikacji takich jak:​

• Oprogramowanie VPN: OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost i ExpressVPN​
• Narzędzia sieciowe: ngrok, Playit, Cyberduck, FileZilla i DynDNS​
• Komunikatory internetowe: ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber i Viber​
• Klient poczty e-mail: Microsoft Outlook​
• Klient gier: Riot Client, Epic, Steam, Ubisoft Connect, Roblox, Battle.net i różne klienty Minecraft​
• Portfele kryptowalut: Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda i Coinomi​

Dodatkowo, Arcane wykonuje zrzuty ekranu zainfekowanego urządzenia, enumeruje uruchomione procesy oraz listę zapisanych sieci Wi-Fi wraz z ich hasłami. Atakujący rozszerzyli swoje działania, oferując loader o nazwie ArcanaLoader, który w rzeczywistości dostarcza stealer malware. Głównymi celami kampanii są Rosja, Białoruś i Kazachstan.

Kaspersky podkreśla, że ta kampania pokazuje elastyczność cyberprzestępców, którzy stale aktualizują swoje narzędzia i metody dystrybucji. Arcane wyróżnia się ze względu na różnorodność zbieranych danych oraz techniki wykorzystywane do ich pozyskiwania.

Użytkownicy powinni zachować ostrożność podczas pobierania plików z nieznanych źródeł i unikać korzystania z nieautoryzowanych oszustw do gier, aby zminimalizować ryzyko infekcji malware.