Logiciel malveillant Arcane Stealer
Les cybercriminels exploitent des vidéos YouTube faisant la promotion de triches de jeux pour diffuser un nouveau malware appelé Arcane. Ce malware voleur cible principalement les utilisateurs russophones et est capable de collecter un large éventail de données sensibles sur les systèmes compromis.
Table des matières
Comment les arcanes se propagent
L'attaque commence par des liens intégrés dans des vidéos YouTube qui dirigent les utilisateurs non avertis vers des archives protégées par mot de passe. Une fois extraites, ces archives contiennent un fichier batch start.bat, qui utilise PowerShell pour télécharger et exécuter des fichiers supplémentaires. Durant ce processus, la protection Windows SmartScreen est désactivée pour contourner les mesures de sécurité.
Le malware exécute deux composants clés : un mineur de cryptomonnaie et un malware voleur. Initialement, le voleur était identifié comme VGS, une variante du Phemedrone Stealer, mais en novembre 2024, les attaquants ont opté pour Arcane. Bien qu'Arcane emprunte des éléments à d'autres voleurs, les chercheurs ne l'ont pas lié à une famille de malwares spécifique.
Les données arcaniques volent
Arcane est conçu pour extraire une grande variété d'informations sensibles, notamment les identifiants de connexion, les mots de passe, les informations de carte bancaire et les cookies stockés dans les navigateurs Chromium et Gecko. Il collecte également des données système. Le logiciel malveillant extrait les fichiers de configuration, les paramètres et les informations de compte d'un large éventail d'applications, notamment :
- Clients VPN : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN
- Clients et utilitaires réseau : ngrok, Playit, Cyberduck, FileZilla, DynDNS
- Applications de messagerie : ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber
- Clients de messagerie : Microsoft Outlook
- Clients et services de jeu : Riot Client, Epic, Steam, Ubisoft Connect (anciennement Uplay), Roblox, Battle.net, divers clients Minecraft
- Portefeuilles crypto : Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi
Au-delà du vol d'identifiants standard, Arcane utilise des techniques sophistiquées pour optimiser la collecte de données. Il utilise l'API de protection des données (DPAPI) pour extraire les clés de chiffrement utilisées par les navigateurs pour sécuriser les mots de passe et les cookies stockés. De plus, il exécute une instance cachée de l'utilitaire Xaitax pour déchiffrer ces clés de chiffrement, garantissant ainsi un accès complet aux identifiants stockés. Pour extraire les cookies d'authentification des navigateurs basés sur Chromium, il lance une copie du navigateur via un port de débogage, contournant ainsi les barrières de sécurité traditionnelles.
L’émergence d’ArcanaLoader
Dans une nouvelle évolution de leur tactique, les attaquants ont introduit ArcanaLoader, un outil menaçant se faisant passer pour un logiciel de téléchargement de codes de triche. Au lieu de codes de triche, l'outil déploie Arcane, étendant ainsi la portée du malware. La campagne cible principalement les utilisateurs en Russie, en Biélorussie et au Kazakhstan.
Une cybermenace qui s’adapte rapidement
La campagne de malware Arcane met en évidence la capacité d'adaptation des cybercriminels, qui peaufinent sans cesse leurs méthodes d'attaque. Arcane se distingue par ses capacités étendues de collecte de données et ses techniques avancées d'extraction d'informations chiffrées. Cette opération rappelle que même des téléchargements de cheats apparemment inoffensifs peuvent être une porte d'entrée vers de graves menaces de sécurité.
