Поделиться
На русскоязычных любителей «читов» и «кряков» напал новый троян, ворующий логины, пароли и данные кредитных карт
Кампания, нацеленная на геймеров, распространяет криптомайнеры и новый многофункциональный инфостилер под неоригинальным названием Arcane
Мало фантазии...
Эксперты «Лаборатории Касперского» опубликовали исследование нового вредоноса, который распространяется через YouTube-ролики с рекламой «читов» и средств взлома для видеоигр.
Обосновавшись в системе, вредонос крадет данные аккаунтов из VPN- и игровых клиентов, а также различных сетевых утилит, таких как ngrok, Playit, Cyberduck, FileZilla и DynDNS.
В «Лаборатории» его окрестили Arcane, отметив, что отношения к другому известному троянцу - Arcane Stealer V - данный не имеет никакого отношения.
Впоследствии злоумышленники выпустили загрузчик со схожим названием, который якобы предназначен для скачивания читов и средств взлома защиты от копирования («кряки»), но на практике доставляет на устройство жертвы вредоносное ПО.
Как утверждают авторы исследования, кампания была запущена еще до появления самого стилера:
«Отправной точкой в первоначальной схеме распространения были ролики на YouTube, рекламирующие читы. Под видео чаще всего располагалась ссылка на архив и пароль к нему. При распаковке в корне всегда обнаруживался BATCH-файл start.bat, а в одной из подпапок — утилита UnRAR.exe», - говорится в публикации «Лаборатории».
Задачей BATCH-файла был запуск PowerShell для скачивания еще одного запароленного архива и его распаковки с помощью утилиты UnRAR.exe; в ее аргументы передавался вшитый в BATCH-файл пароль.
Сам файл был, естественно, обфусцирован.
На следующем этапе этот же файл с помощью PowerShell запускал исполняемые файлы, спрятанные в архиве, а также добавлял все корневые папки дисков в исключения фильтра SmartScreen, а потом и вовсе его отключал через системный реестр.
Исполняемыми файлами были криптомайнер и стилер. И если сначала в качестве стилера применялась модификация троянца Phemedrone (VGS), то с конца 2024 г. они начали задействовать Arcane.
...Но много функций
«Хотя многое в нем было позаимствовано из других стилеров, нам не удалось отнести его к какому-либо из известных семейств», - отмечают исследователи и добавляют, что троянец все время модифицируется, и его код и возможности меняются с каждой следующей версией.
В «среднестатистическом» виде Arcane ищет и пытается выкрасть логины, пароли, данные кредитных карт, токены и другие данные из различных браузеров на основе Chromium и Gecko.
Он также крадет файлы конфигурации и сведения о настройках и аккаунтах из таких приложений, как VPN-клиенты - OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN; сетевых клиентов и утилит ngrok, Playit, Cyberduck, FileZilla и DynDNS; мессенджеров ICQ (хотя он уже закрыт), Tox, Skype (планируется к закрытию), Pidgin, Signal, Element, Discord, Telegram, Jabber и Viber, а также почтового клиента Outlook.
Живейший интерес троянец проявляет к игровым клиентам и сервисам: Riot Client, Epic, Steam, Ubisoft Connect (бывший Uplay), Roblox, Battle.net и различным клиентам Minecraft. Перепродажа внутриигровых предметов там, где она возможна, нередко превращается в своеобразный бизнес, который привлекает криминал в том числе.
В прицеле вредоноса также находятся криптокошельки: Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi.
Плюс к этому стилер собирает различную системную информацию, в частности, версию и дату установки ОС, цифровой ключ для активации системы и проверки лицензии, имя пользователя и компьютера, местоположение, сведения о процессоре, памяти, видеоадаптере, дисках, сетевых и USB-устройствах, установленных антивирусах и браузерах.
Вполне вероятно, что эти сведения используются для того, чтобы избегать попадания в honeypot-ловушки. Но, очевидно, с этим троянец не справляется.
Вредонос может делать скриншоты зараженного устройства, получать списки запущенных процессов и сохраненных в ОС Wi-Fi-сетей, а также пароли к последним.
Исследователи обращают внимание на то, что троянец использует сразу два способа расшифровки уникальных ключей, которые браузеры используют для безопасного хранения чувствительных для пользователя данных. Первый - это использование Data Protection API (DPAPI), что для таких программ вполне типично.
Но Arcane также приносит с собой вариант утилиты Xaitax, еще одного инструмента для расшифровки ключей браузеров.
Утилита сохраняется на диск и скрыто запускается, а стилер получает все необходимые ключи из ее консольного вывода.
Помимо этого, в стилере реализован дополнительный метод извлечения файлов cookie из браузеров на базе Chromium, который предполагает использование отладочного порта.
«Троянец скрыто запускает копию браузера с аргументом remote-debugging-port, после чего подключается к отладочному порту, отдает команды на посещение ряда сайтов и запрашивает их куки», - пишут исследователи.
К этим ресурсам относятся сервисы Google - GMail, Google Drive, Google Photos и Youtube, а также Mail.ru, Rambler.ru, Avito.ru, Ozon.ru, Яндекс.Паспорт. Кроме того, вредонос опрашивает ресурсы steamcommunity.com, twitter.com и roblox.com.
Злоумышленники пошли еще дальше: через несколько месяцев после обнаружения стилера злоумышленники начали рекламировать на своих YouTube-каналах ArcanaLoader — загрузчик с графическим интерфейсом для скачивания и запуска наиболее популярных «кряков», читов и другого подобного ПО.
Ссылки под роликами чаще всего вели на исполняемый файл, который загружал архив с ArcanaLoader. В архиве скрывался и инфостилер.
Эксперты «Лаборатории» подчеркивают, что злоумышленники нацелены, прежде всего, на русскоязычных пользователей: телеметрия показывает, что большинство атакованных пользователей находилось в России, Беларуси и Казахстане.
«Широко известно, что сомнительное ПО типа «кряков» и читов - рассадник вредоносов», - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. «Тем не менее, слишком многие готовы рисковать своими важнейшими данными и денежными активами ради сомнительной экономии на пиратском ПО или получения еще более сомнительных преимуществ в онлайн играх».
Эксперт отметил, что охват кампании, по-видимому, уже огромен и что она приносит ее операторам неплохой доход - достаточный, чтобы инвестировать в дальнейшее расширение и разработку новых средств.
Короткая ссылка
