Arcane Stealer-Malware
Cyberkriminelle nutzen YouTube-Videos, die für Spiel-Cheats werben, um die neu identifizierte Schadsoftware Arcane zu verbreiten. Diese Stealer-Malware zielt vor allem auf russischsprachige Nutzer ab und kann zahlreiche sensible Daten von kompromittierten Systemen sammeln.
Inhaltsverzeichnis
Wie sich Arkan verbreitet
Der Angriff beginnt mit in YouTube-Videos eingebetteten Links, die ahnungslose Nutzer zu passwortgeschützten Archiven führen. Nach dem Entpacken enthalten diese Archive eine Batchdatei „start.bat“, die mithilfe von PowerShell weitere Dateien herunterlädt und ausführt. Dabei wird der Windows SmartScreen-Schutz deaktiviert, um Sicherheitsmaßnahmen zu umgehen.
Die Malware führt zwei Hauptkomponenten aus: einen Kryptowährungs-Miner und eine Stealer-Malware. Ursprünglich wurde der Stealer als VGS identifiziert, eine Variante des Phemedrone Stealer. Im November 2024 waren die Angreifer jedoch auf Arcane umgestiegen. Obwohl Arcane Elemente anderer Stealer übernimmt, konnten Forscher es keiner bestimmten Malware-Familie zuordnen.
Die geheimnisvollen Datendiebstähle
Arcane ist darauf ausgelegt, eine Vielzahl sensibler Informationen zu extrahieren, darunter Anmeldedaten, Passwörter, Kreditkartendaten und Cookies, die sowohl in Chromium- als auch in Gecko-basierten Browsern gespeichert sind. Außerdem sammelt die Malware Systemdaten. Die Malware extrahiert Konfigurationsdateien, Einstellungen und Kontodaten aus einer Vielzahl von Anwendungen, darunter:
- VPN-Clients : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN
- Netzwerkclients und -Dienstprogramme : ngrok, Playit, Cyberduck, FileZilla, DynDNS
- Messaging-Apps : ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber
- E-Mail-Clients : Microsoft Outlook
- Gaming-Clients und -Dienste : Riot Client, Epic, Steam, Ubisoft Connect (ehemals Uplay), Roblox, Battle.net, verschiedene Minecraft-Clients
- Krypto-Geldbörsen : Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi
Über den üblichen Diebstahl von Anmeldeinformationen hinaus setzt Arcane ausgefeilte Techniken zur verbesserten Datenerfassung ein. Es nutzt die Data Protection API (DPAPI), um Verschlüsselungsschlüssel zu extrahieren, die von Browsern zum Schutz gespeicherter Passwörter und Cookies verwendet werden. Zusätzlich führt es eine versteckte Instanz des Dienstprogramms Xaitax aus, um diese Verschlüsselungsschlüssel zu knacken und so den vollständigen Zugriff auf gespeicherte Anmeldeinformationen zu gewährleisten. Um Authentifizierungscookies aus Chromium-basierten Browsern zu extrahieren, startet es eine Kopie des Browsers über einen Debug-Port und umgeht so herkömmliche Sicherheitsbarrieren.
Die Entstehung von ArcanaLoader
In einer Weiterentwicklung ihrer Taktik haben die Angreifer ArcanaLoader eingeführt, ein bedrohliches Tool, das als Software zum Herunterladen von Spiel-Cheats getarnt ist. Anstelle von Cheats setzt das Tool ArcanaLoader ein, was die Reichweite der Schadsoftware weiter erhöht. Die Kampagne zielt vor allem auf Nutzer in Russland, Weißrussland und Kasachstan ab.
Eine sich schnell anpassende Cyberbedrohung
Die Arcane-Malware-Kampagne unterstreicht die Anpassungsfähigkeit von Cyberkriminellen, die ihre Angriffsmethoden ständig verfeinern. Arcane zeichnet sich durch umfangreiche Datenerfassungsfunktionen und fortschrittliche Techniken zum Extrahieren verschlüsselter Informationen aus. Diese Operation erinnert daran, dass selbst scheinbar harmlose Spiel-Cheat-Downloads ein Tor zu schwerwiegenden Sicherheitsbedrohungen darstellen können.
