стилеры
В конце 2024 года наши эксперты обнаружили новый стилер Arcane — он умеет собирать множество различных данных с зараженного устройства. Злоумышленники пошли дальше и выпустили загрузчик ArcanaLoader, который якобы скачивает читы, кряки и прочие «полезности» для геймеров, а на деле заражает устройство стилером Arcane. Кажется, что с креативом у них все очень плохо, но это касается только названий. Схема распространения трояна и сама идея довольно-таки оригинальны.
Надеемся, вы уже знаете, что не нужно скачивать все подряд из ссылок под видео на YouTube? Еще нет? Тогда читайте эту историю.
Как распространяют стилер Arcane
Вредоносная кампания, в которой мы обнаружили стилер Arcane, была активна еще до его появления на свет. Проще говоря: сначала злоумышленники распространяли другие вредоносы, а потом заменили их на Arcane.
Как выглядела схема. Ссылки на запароленный архив с вредоносным содержимым располагались под YouTube-роликами с рекламой читов для игр. В архиве всегда был вовсе не подозрительный BATCH-файл start.bat. Функциональность его сводилась к запуску PowerShell для скачивания еще одного запароленного архива, внутри которого лежали два исполняемых файла: майнер и стилер VGS. Вот им-то на смену и пришел Arcane. Новый стилер сначала продвигали точно так же: ролик, первый вредоносный архив, затем второй — и троян на устройстве жертвы.
Спустя несколько месяцев злоумышленники усовершенствовали схему и к видео на YouTube стали прикладывать ссылку на ArcanaLoader — загрузчик с графическим интерфейсом, нужный якобы для скачивания и запуска читов, кряков и прочего подобного ПО. На самом деле ArcanaLoader заражал устройство стилером Arcane.
Внутри клиента — куча вариантов читов для Minecraft
Одним загрузчиком дело не ограничилось — вдобавок к нему появился свой сервер в Discord. Его мошенники используют в том числе для вербовки ютуберов, которые должны ставить ссылки на ArcanaLoader в описания под своими роликами. Критерии отбора не слишком жесткие: как минимум 600 подписчиков, более 1500 просмотров и два опубликованных видео со ссылками на загрузчик. За это обещают новую роль на сервере, возможность отправлять свои видео в чат, мгновенное добавление желанных читов в загрузчик и возможную зарплату в рублях за высокий трафик. Получил ли хоть кто-то из невольных распространителей вредоносов выплаты на свой кошелек — неизвестно.
На Discord-сервере ArcanaLoader более 3000 участников
Все общение на сервере ArcanaLoader в Discord происходит на русском языке, а наша телеметрия фиксирует наибольшее количество жертв стилера на территории России, Беларуси и Казахстана. То есть под прицелом Arcane в основном русскоязычные геймеры.
Чем опасен стилер Arcane
Стилерами называют такие вредоносы, который крадут логины-пароли и прочую секретную информацию и отправляют их злоумышленникам. Полученная информация помогает им получать доступы к аккаунтам в играх, соцсетях и так далее. Что касается Arcane, то его возможности постоянно меняются — кибернегодяи активно обновляют код стилера. На момент публикации материала Arcane умел «золотую классику»: логины, пароли, данные платежных карт. Основной источник информации для стилера — браузеры на основе движков Chromium и Gecko, именно поэтому мы не рекомендуем хранить такую конфиденциальную информацию в браузерах, лучше использовать проверенный менеджер паролей.
В стилере также реализован дополнительный метод извлечения куки-файлов из браузеров на базе Chromium, а с помощью украденных куки можно сделать много неприятного, например угнать YouTube-канал. Как именно это работает — читайте в исследовании Securelist.
Помимо данных из браузера, Arcane крадет файлы конфигурации, информацию о настройках и аккаунтах из следующих приложений.
- VPN-клиенты: OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN.
- Сетевые клиенты и утилиты: Ngrok, PLAYit, Cyberduck, FileZilla, DynDns.
- Мессенджеры: ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber.
- Почтовые клиенты: Outlook.
- Игровые клиенты и сервисы: Riot Client, Epic Games, Steam, Ubisoft Connect, Roblox, Battle.net, различные клиенты Minecraft.
- Криптокошельки: Zcash, Armory, Bytecoin, Jaxx Wallet, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi.
Список впечатляет, не так ли? А вдобавок к нему — еще и различная системная информация. Стилер Arcane расскажет злоумышленникам, какая версия ОС и когда была установлена на устройстве, поделится ключом активации Windows, украденными данными про оборудование зараженной системы, скриншотами с устройства, списком запущенных процессов и паролями к сохраненным Wi-Fi-сетям.
Как защититься от Arcane
Злоумышленники начинали с того, что просто ставили ссылку на вредоносный архив под видео на YouTube, а в итоге организовали собственный сервер в Discord и создали загрузчик с графическим интерфейсом. Разумеется, все эти действия нужны были для придания кампании мнимой легитимности. Какие выводы можно сделать? Кибергады сегодня очень гибкие: они быстро адаптируются, меняют одни схемы распространения на другие, поэтому сейчас нужно быть внимательным как никогда.
- Не скачивайте никакие файлы из описаний YouTube-роликов. Практика показывает, что даже проверенные блогеры порой, сами того не зная, могут распространять троянов.
- Защитите свое устройство надежным защитным решением, которое вовремя обнаружит и обезвредит стилер Arcane – и другие.
- Не храните логины, пароли и банковскую информацию в браузерах. Это хоть и удобный, но очень рискованный способ хранения настолько важных данных. Доверьте их Kaspersky Password Manager — запомните один, главный, пароль, а об остальном позаботимся мы.
- С подозрением относитесь к читам, модам и крякам. Особенно для Minecraft и Roblox — любителей этих игр злоумышленники атакуют чаще других.
Если вам интересно, какие еще бывают стилеры и что они умеют, то не пропустите эти посты:
Подписывайтесь на наш блог и читайте в нашем ТГ-канале Kaspersky, чтобы быть в курсе всех новых угроз в мире кибербезопасности. А также делитесь этим постом с теми, кто активно играет в игры, но пока еще не так хорошо ориентируется в цифровом пространстве.
Советы