Một loại mã độc đánh cắp thông tin mới, có tên gọi Arcane, đang được phát tán thông qua các video trên YouTube quảng bá các công cụ gian lận trong game, nhắm mục tiêu có khả năng là người dùng nói tiếng Nga. Theo phân tích của Kaspersky, điều đáng chú ý về loại mã độc này là khả năng thu thập lượng lớn thông tin.

Các cuộc tấn công diễn ra bằng cách chia sẻ các liên kết đến một kho lưu trữ được bảo vệ bằng mật khẩu trong các video YouTube. Khi người dùng mở tệp này, một tệp batch start.bat sẽ được giải nén, chịu trách nhiệm tải xuống một tệp lưu trữ khác thông qua PowerShell. Tệp batch sau đó sử dụng PowerShell để khởi chạy hai tệp thực thi được nhúng trong tệp lưu trữ vừa tải xuống, đồng thời vô hiệu hóa các biện pháp bảo vệ Windows SmartScreen và thêm mọi thư mục gốc của ổ đĩa vào danh sách loại trừ của bộ lọc SmartScreen.

Trong số hai tệp nhị phân, một là trình đào tiền điện tử và tệp còn lại là một trình đánh cắp thông tin được đặt tên là VGS, một biến thể của mã độc Phemedrone Stealer. Tuy nhiên, từ tháng 11 năm 2024, các cuộc tấn công đã được phát hiện thay thế VGS bằng Arcane. Công ty an ninh mạng Nga lưu ý rằng mặc dù Arcane vay mượn nhiều từ các trình đánh cắp khác, nhưng họ không thể quy nó cho bất kỳ họ mã độc đã biết nào.

Ngoài việc đánh cắp thông tin đăng nhập, mật khẩu, dữ liệu thẻ tín dụng và cookie từ nhiều trình duyệt dựa trên Chromium và Gecko, Arcane còn được trang bị để thu thập dữ liệu hệ thống toàn diện cũng như các tệp cấu hình, cài đặt và thông tin tài khoản từ nhiều ứng dụng, bao gồm:

•

Các ứng dụng VPN: OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost và ExpressVPN

•

Các ứng dụng và tiện ích mạng: ngrok, Playit, Cyberduck, FileZilla và DynDNS

•

Các ứng dụng nhắn tin: ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber và Viber

•

Các ứng dụng email: Microsoft Outlook

•

Các ứng dụng và dịch vụ game: Riot Client, Epic, Steam, Ubisoft Connect (trước đây là Uplay), Roblox, Battle.net và các ứng dụng Minecraft khác nhau

•

Các ví tiền điện tử: Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda và Coinomi

Hơn nữa, Arcane được thiết kế để chụp ảnh màn hình của thiết bị bị nhiễm, liệt kê các tiến trình đang chạy và liệt kê các mạng Wi-Fi đã lưu và mật khẩu của chúng. Kaspersky cho biết hầu hết các trình duyệt đều tạo ra các khóa duy nhất để mã hóa dữ liệu nhạy cảm mà chúng lưu trữ, chẳng hạn như thông tin đăng nhập, mật khẩu, cookie, v.v.. Arcane sử dụng Data Protection API (DPAPI) để lấy các khóa này, một hành vi điển hình của các trình đánh cắp. Tuy nhiên, Arcane còn chứa một tệp thực thi của tiện ích Xaitax, được sử dụng để bẻ khóa các khóa trình duyệt. Để thực hiện điều này, tiện ích được thả xuống đĩa và khởi chạy một cách bí mật, và trình đánh cắp sẽ lấy tất cả các khóa cần thiết từ đầu ra của nó.

Ngoài các khả năng trên, mã độc này còn triển khai một phương pháp riêng để trích xuất cookie từ các trình duyệt dựa trên Chromium bằng cách khởi chạy một bản sao của trình duyệt thông qua một cổng gỡ lỗi.

Các tác nhân đe dọa chưa xác định đứng sau chiến dịch này đã mở rộng “dịch vụ” của họ để bao gồm một trình tải xuống có tên ArcanaLoader, bề ngoài được cho là để tải xuống các công cụ gian lận trong game, nhưng thực tế lại cài đặt mã độc đánh cắp Arcane. Nga, Belarus và Kazakhstan đã nổi lên như là các mục tiêu chính của chiến dịch này.

Kaspersky nhận xét rằng chiến dịch này cho thấy sự linh hoạt của tội phạm mạng, luôn cập nhật các công cụ và phương pháp phân phối của chúng. Hơn nữa, bản thân trình đánh cắp Arcane rất thú vị vì tất cả các loại dữ liệu khác nhau mà nó thu thập và các thủ thuật mà nó sử dụng để trích xuất thông tin mà kẻ tấn công mong muốn.

Security365