Un malware de vol d’informations récemment découvert appelé Arcane vole de nombreuses données utilisateur, y compris les informations d’identification du compte VPN, les clients de jeu, les applications de messagerie et les informations stockées dans les navigateurs Web.
Selon Kaspersky, le malware n’a aucun lien ou code qui chevauche l’Arcane Stealer V, qui circule sur le Dark Web depuis des années.
La campagne de logiciels malveillants Arcane a débuté en novembre 2024, après avoir franchi plusieurs étapes évolutives, y compris le remplacement de la charge utile principale.
Toutes les conversations et publications publiques de ses opérateurs sont en russe, la télémétrie de Kaspersky montrant que la plupart des infections mystérieuses se trouvent en Russie, en Biélorussie et au Kazakhstan.
Ceci est particulièrement notable, car la plupart des acteurs de la menace basés en Russie évitent généralement de cibler les utilisateurs du pays et d’autres pays de la CEI pour éviter les conflits avec les autorités locales.
Chaîne d’infection du voleur arcanique
La campagne de distribution d’Arcane Stealer s’appuie sur des vidéos YouTube faisant la promotion des astuces et des cracks de jeux, incitant les utilisateurs à suivre un lien pour télécharger une archive protégée par mot de passe.
Ces fichiers contenaient un début fortement obscurci.script bat ‘ qui récupérait une deuxième archive protégée par mot de passe avec des exécutables malveillants.
Les fichiers téléchargés ajoutent une exclusion au filtre SmartScreen de Windows Defender pour tous les dossiers racine du lecteur ou le désactivent complètement via les modifications du registre Windows.
Auparavant, les attaques utilisaient une autre famille de logiciels malveillants voleurs appelée VGS, une version renommée du cheval de Troie Phemedrone, mais elles sont passées à Arcane en novembre 2024.
Kaspersky a également découvert des changements récents dans la méthode de distribution, notamment l’utilisation d’un faux téléchargeur de logiciels, censé être destiné aux fissures et astuces de jeux populaires, nommé ArcanaLoader.
ArcanaLoader a été fortement promu sur YouTube et Discord, les opérateurs invitant même les créateurs de contenu à le promouvoir sur leurs blogs/vidéos moyennant des frais.
Voler une tonne de données
Kaspersky commente que le vaste vol de données d’Arcane le distingue dans l’espace peuplé d’infostealer.
Tout d’abord, il profile le système infecté, volant des détails matériels et logiciels tels que la version du système d’exploitation, les détails du processeur et du processeur graphique, l’antivirus installé et les navigateurs.
La version actuelle du logiciel malveillant cible les données de compte, les paramètres et les fichiers de configuration des applications suivantes:
- Clients VPN: OpenVPN, Mullvad, NordVPN, IPVanish, Requin de surf, Proton, cacher my.name, PIA, CyberGhost, ExpressVPN
- Outils de réseau: Google, Playit, Cyberduck, FileZilla, DynDNS
- Messages: ICQ, Tox, Skype, Pidgin, Signal, Élément, Discorde, Télégramme, Jabber, Viber
- Clients de messagerie: Outlook
- Clients de jeu: Client anti-émeute, Épique, Vapeur, Ubisoft Connect (ex-Uplay), Roblox, Battle.net, divers clients Minecraft
- Portefeuilles de crypto-monnaie: Espèces, Armurerie, Bytecoin, Jaxx, Exode, Ethereum, Électrum, Atomique, Guarda, Économique
- Navigateurs Web: Identifiants, mots de passe et cookies enregistrés (pour Gmail, Google Drive, Google Photos, Steam, YouTube, Twitter, Roblox) à partir de navigateurs basés sur Chromium.
Arcane capture également des captures d’écran qui peuvent révéler des informations sensibles sur ce que vous faites sur l’ordinateur et récupère les mots de passe du réseau Wi-Fi enregistrés.
Même si Arcane a actuellement un ciblage spécifique, ses opérateurs pourraient l’étendre pour couvrir d’autres pays ou thèmes.
Être infecté par un revendeur d’informations est dévastateur, entraînant une fraude financière, une extorsion et de futures attaques. Le nettoyage après ces attaques est une perte de temps considérable, car vous devez changer les mots de passe de chaque site Web et application que vous utilisez et vous assurer qu’ils ne sont pas compromis.
Par conséquent, les utilisateurs doivent toujours garder à l’esprit les risques de téléchargement d’outils de piratage et de triche non signés. Le risque de ces outils est trop élevé et ils doivent être entièrement évités.