HackerNews 编译,转载请注明出处:
YouTube 上推广游戏外挂的视频被用于传播一种名为 Arcane 的未被记录在案的盗取器恶意软件,该软件可能针对俄语用户。
卡巴斯基在一份分析报告中表示:“这种恶意软件的有趣之处在于它收集的信息量之大。”它会从 VPN 和游戏客户端,以及 ngrok、Playit、Cyberduck、FileZilla 和 DynDNS 等各种网络工具中抓取账户信息。
攻击链涉及在 YouTube 视频中分享指向受密码保护的存档文件的链接,打开后,该存档文件会解压出一个名为 start.bat 的批处理文件,该文件负责通过 PowerShell 检索另一个存档文件。
随后,该批处理文件利用 PowerShell 启动新下载存档文件中嵌入的两个可执行文件,同时禁用 Windows SmartScreen 保护功能,并将每个驱动器根文件夹设置为 SmartScreen 过滤器的例外。
这两个二进制文件中,一个是加密货币矿工,另一个是名为 VGS 的盗取器,它是 Phemedrone 盗取器恶意软件的一个变种。截至 2024 年 11 月,攻击者已被发现用 Arcane 替代了 VGS。
“尽管其中很多内容是从其他盗取器中借鉴而来的,但我们无法将其归因于任何已知的家族。”这家俄罗斯网络安全公司指出。
除了从各种基于 Chromium 和 Gecko 的浏览器中窃取登录凭证、密码、信用卡数据和 Cookie 外,Arcane 还能够收集全面的系统数据,以及以下多个应用程序的配置文件、设置和账户信息:
VPN 客户端:OpenVPN、Mullvad、NordVPN、IPVanish、Surfshark、Proton、hidemy.name、PIA、CyberGhost 和 ExpressVPN
网络客户端和工具:ngrok、Playit、Cyberduck、FileZilla 和 DynDNS
通讯软件:ICQ、Tox、Skype、Pidgin、Signal、Element、Discord、Telegram、Jabber 和 Viber
电子邮件客户端:Microsoft Outlook
游戏客户端和服务:Riot Client、Epic、Steam、Ubisoft Connect(原 Uplay)、Roblox、Battle.net 以及各种 Minecraft 客户端
加密货币钱包:Zcash、Armory、Bytecoin、Jaxx、Exodus、Ethereum、Electrum、Atomic、Guarda 和 Coinomi
此外,Arcane 还被设计为能够截取受感染设备的屏幕截图,枚举正在运行的进程,并列出已保存的 Wi-Fi 网络及其密码。
“大多数浏览器会生成唯一密钥,用于加密其存储的敏感数据,如登录信息、密码、Cookie 等。”卡巴斯基表示,“Arcane 利用数据保护 API(DPAPI)获取这些密钥,这是盗取器的典型行为。”
“但 Arcane 还包含一个名为 Xaitax 的工具的可执行文件,它利用该工具破解浏览器密钥。为此,该工具会被秘密地写入磁盘并启动,盗取器从其控制台输出中获取所需的全部密钥。”
此外,该盗取器恶意软件还采用了一种单独的方法,通过调试端口启动浏览器副本,从而从基于 Chromium 的浏览器中提取 Cookie。
该行动背后的不明威胁行为者已经扩大了他们的业务范围,包括一个名为 ArcanaLoader 的加载器,该加载器声称用于下载游戏外挂,但实际上却传播盗取器恶意软件。俄罗斯、白俄罗斯和哈萨克斯坦已成为此次行动的主要目标。
“这场特定的活动之所以有趣,是因为它展示了网络犯罪分子的灵活性,他们始终在更新他们的工具和分发方法。”卡巴斯基表示,“此外,Arcane 盗取器本身也很有趣,因为它收集了各种不同的数据,并且使用了各种技巧来提取攻击者想要的信息。”
