Los videos de YouTube que promueven los trucos del juego se están utilizando para entregar un malware de robador previamente indocumentado llamado Arcano Probablemente dirigido a usuarios de habla rusa.
“Lo intrigante de este malware es cuánto recopila”, Kaspersky dicho en un análisis. “Toma la información de la cuenta de los clientes VPN y juegos, y todo tipo de utilidades de red como Ngrok, Playit, CyberDuck, Filezilla y Dyndns”.
Las cadenas de ataque implican compartir enlaces a un archivo protegido por contraseña en los videos de YouTube, que, cuando se abre, desempaqueta un archivo inicial. Bat Batch que es responsable de recuperar otro archivo de archivo a través de PowerShell.
El archivo por lotes luego utiliza PowerShell para iniciar dos ejecutables integrados dentro del archivo recién descargado, al tiempo que deshabilita las protecciones de pantalla inteligente de Windows y cada carpeta de raíz de la unidad a las excepciones de filtro SmartScreen.
De los dos binarios, uno es un minero de criptomonedas y el otro es un robador llamado VGS que es una variante del malware del robador de femedrona. A partir de noviembre de 2024, se ha encontrado que los ataques reemplazan a VGS con Arcane.
“Aunque gran parte fue tomado de otros robos, no pudimos atribuirlo a ninguna de las familias conocidas”, señaló la compañía de seguridad cibernética rusa.
Además de robar credenciales de inicio de sesión, contraseñas, datos de tarjetas de crédito y cookies de varios navegadores basados en Chromium y Gecko, Arcane está equipado para cosechar datos integrales del sistema, así como archivos de configuración, configuraciones e información de cuenta de varias aplicaciones como los seguidores,
- Clientes VPN: OpenVPN, Mullvad, Nordvpn, Ipvanish, Surfshark, Proton, Hidemy.Name, PIA, Cyberghost y ExpressVPN
- Clientes y utilidades de la red: ngrok, playit, cyberDuck, filezilla y dyndns
- Aplicaciones de mensajería: ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber y Viber
- Clientes de correo electrónico: Microsoft Outlook
- CLIENTES Y SERVICIOS DE JUEGOS: Riot Client, Epic, Steam, Ubisoft Connect (ex Suplay), Roblax, Battle.net y varios clientes de Minecraft
- Billeteras de criptografía: Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda y Coinomi
Además, Arcane está diseñado para tomar capturas de pantalla del dispositivo infectado, enumerar los procesos de ejecución y la lista de redes Wi-Fi guardadas y sus contraseñas.
“La mayoría de los navegadores generan claves únicas para encriptar datos confidenciales que almacenan, como inicios de sesión, contraseñas, cookies, etc.”, dijo Kaspersky. “Arcane utiliza la API de protección de datos (DPAPI) para obtener estas claves, que es típica de los robadores”.
“Pero Arcane también contiene un archivo ejecutable de la utilidad Xaitax, que utiliza para descifrar las claves del navegador. Para hacer esto, la utilidad se cae al disco y se lanza encubierta, y el robador obtiene todas las claves que necesita de la salida de su consola”.
Además de sus capacidades, el malware del robador implementa un método separado para extraer cookies de navegadores basados en cromo que lanza una copia del navegador a través de un puerto de depuración.
Desde entonces, los actores de amenaza no identificados detrás de la operación han ampliado sus ofertas para incluir un cargador llamado Arcanaloader que aparentemente está destinado a descargar trucos de juegos, pero entrega el malware del robador. Rusia, Bielorrusia y Kazajstán se han convertido en los principales objetivos de la campaña.
“Lo interesante de esta campaña en particular es que ilustra cuán flexibles son los cibercriminales, siempre actualizando sus herramientas y los métodos para distribuirlas”, dijo Kasperksy. “Además, el robador arcano es fascinante debido a todos los diferentes datos que recopila y los trucos que utiliza para extraer la información que los atacantes quieren”.
About the Author
