Les vidéos YouTube faisant la promotion de Cheats de jeu sont utilisées pour livrer un malware de voleur sans papiers précédemment appelé Ésotérique ciblant probablement les utilisateurs russes.
“Ce qui est intrigan dit dans une analyse. “Il saisit des informations de compte auprès des clients VPN et des jeux, et toutes sortes d’utilitaires de réseau comme Ngrok, Playit, Cyberduck, Filezilla et Dyndns.”
Les chaînes d’attaque impliquent le partage de liens vers une archive protégée par mot de passe sur des vidéos YouTube, qui, lorsqu’elles sont ouvertes, déballent un fichier batch start.bat responsable de la récupération d’un autre fichier d’archives via PowerShell.
Le fichier batch utilise ensuite PowerShell pour lancer deux exécutables intégrés dans les archives nouvellement téléchargées, tout en désactivant les protections Windows SmartScreen et chaque dossier racine de lecteur vers des exceptions de filtre SmartScreen.
Des deux binaires, l’un est un mineur de crypto-monnaie et l’autre est un voleur surnommé VGS qui est une variante du malware de voleur de phédrone. En novembre 2024, les attaques ont été constatées pour remplacer les VG par Arcane.
“Bien que cela ait été emprunté à d’autres voleurs, nous ne pouvions l’attribuer à aucune des familles connues”, a noté la société de cybersie russe.
En plus de voler des informations d’identification de connexion, des mots de passe, des données de carte de crédit et des cookies dans divers navigateurs basés sur le chrome et le gecko, Arcane est équipé pour récolter des données système complètes ainsi que des fichiers de configuration, des paramètres et des informations de compte provenant de plusieurs applications telles que suit –
- Clients VPN: OpenVPN, Mullvad, Nordvpn, Ipvanish, Surfshark, Proton, Hidemy.name, Pia, Cyberghost et ExpressVPN
- Clients de réseau et utilitaires: Ngrok, Playit, Cyberduck, Filezilla et Dyndns
- Applications de messagerie: ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber et Viber
- Clients de messagerie: Microsoft Outlook
- Clients et services de jeu: Riot Client, Epic, Steam, Ubisoft Connect (ex-Uplay), Roblox, Battle.net et divers clients Minecraft
- Portefeuilles crypto: zcash, armurerie, bytecoin, jaxx, exode, Ethereum, electrum, atomic, garda et coinomi
En outre, Arcane est conçu pour prendre des captures d’écran de l’appareil infecté, énumérer les processus en cours d’exécution et répertorier les réseaux Wi-Fi enregistrés et leurs mots de passe.
“La plupart des navigateurs génèrent des clés uniques pour chiffrer les données sensibles qu’ils stockent, telles que les connexions, les mots de passe, les cookies, etc.”, a déclaré Kaspersky. “Arcane utilise l’API de protection des données (DPAPI) pour obtenir ces clés, qui est typique des voleurs.”
“Mais Arcane contient également un fichier exécutable de l’utilitaire Xaitax, qu’il utilise pour casser les clés du navigateur. Pour ce faire, l’utilitaire est déposé sur le disque et lancé secrètement, et le voleur obtient toutes les touches dont il a besoin à partir de sa sortie de console.”
Ajoutant à ses capacités, le malware du voleur implémente une méthode distincte pour extraire les cookies des navigateurs basés sur le chrome lançant une copie du navigateur via un port de débogage.
Les acteurs de la menace non identifiés derrière l’opération ont depuis élargi leurs offres pour inclure un chargeur nommé Arcanaloader qui est ostensiblement destiné à télécharger des tricheurs de jeu, mais livre le malware du voleur à la place. La Russie, le Bélarus et le Kazakhstan sont devenues les principales cibles de la campagne.
“Ce qui est intéressant dans cette campagne particulière, c’est qu’elle illustre à quel point les cybercriminels sont flexibles, mettant à jour toujours leurs outils et les méthodes de distribution”, a déclaré Kasperksy. “De plus, le voleur arcanique lui-même est fascinant en raison de toutes les différentes données qu’elle recueille et des astuces qu’il utilise pour extraire les informations souhaitées par les attaquants.”