揭秘Arcane信息窃取木马:通过YouTube与Discord传播的新型数据收割机

本文详细分析了名为Arcane的新型信息窃取木马,它通过YouTube游戏作弊视频和Discord社区进行传播。该恶意软件功能强大,能窃取VPN、游戏客户端、网络工具、加密货币钱包等大量敏感数据,并采用独特的浏览器密钥破解和调试端口连接技术。

分布

我们发现该新窃密者的活动早在Arcane出现之前就已开始。最初的传播方式始于YouTube上宣传游戏作弊的视频。这些视频通常附带一个存档文件链接和解压密码。解压存档后,用户总是会在根文件夹中发现一个start.bat批处理文件,并在某个子文件夹中发现UnRAR.exe实用程序。

批处理文件的内容经过混淆处理。其唯一目的是通过PowerShell下载另一个受密码保护的存档,并使用嵌入在BATCH文件中作为参数的密码,通过UnRAR.exe解压该存档。

之后,start.bat会使用PowerShell启动存档中的可执行文件。在此过程中,它将每个驱动器的根文件夹添加到SmartScreen过滤器例外中。然后,它通过系统控制台实用程序reg.exe重置EnableWebContentEvaluationSmartScreenEnabled注册表项,以完全禁用SmartScreen。

存档中总是包含两个可执行文件:一个挖矿程序和一个窃密程序。

窃密程序是Phemedrone木马的一个变种,攻击者将其重新命名为“VGS”。他们在生成窃密活动报告时,会使用此名称作为徽标,并将其与报告创建的日期和时间一起写入文件的开头。

Arcane 取代 VGS

2024年底,我们发现了一个名为Arcane的新窃密程序,作为同一活动的一部分进行分发。值得注意的是,之前曾遇到过类似名称的窃密程序:2019年在暗网上出现过一个名为“Arcane Stealer V”的木马,但它与我们发现的这个几乎没有共同点。新窃密程序的名字来源于代码中的ASCII艺术字符。

Arcane于11月取代了VGS。尽管其大部分代码借鉴了其他窃密程序,但我们无法将其归因于任何已知家族。

Arcane会定期更新,因此其代码和功能会因版本而异。我们将描述各种修改和构建版本中存在的常见功能。除了从各种基于Chromium和Gecko的浏览器中窃取登录信息、密码、信用卡数据、令牌和其他凭据外,Arcane还从以下应用程序窃取配置文件、设置和账户信息:

  • VPN客户端:OpenVPN、Mullvad、NordVPN、IPVanish、Surfshark、Proton、hidemy.name、PIA、CyberGhost、ExpressVPN
  • 网络客户端和实用工具:ngrok、Playit、Cyberduck、FileZilla、DynDNS
  • 通讯应用:ICQ、Tox、Skype、Pidgin、Signal、Element、Discord、Telegram、Jabber、Viber
  • 邮件客户端:Outlook
  • 游戏客户端和服务:Riot Client、Epic、Steam、Ubisoft Connect(原Uplay)、Roblox、Battle.net、各种Minecraft客户端
  • 加密货币钱包:Zcash、Armory、Bytecoin、Jaxx、Exodus、Ethereum、Electrum、Atomic、Guarda、Coinomi

此外,该窃密程序会收集各种系统信息,例如操作系统版本和安装日期、用于系统激活和许可证验证的数字密钥、用户名和计算机名、位置、有关CPU、内存、显卡、驱动器、网络和USB设备以及已安装的反恶意软件和浏览器的信息。Arcane还会截取受感染设备的屏幕截图,获取正在运行的进程列表和操作系统中保存的Wi-Fi网络,并检索这些网络的密码。

Arcane窃取浏览器数据的功能值得特别关注。大多数浏览器会生成唯一的密钥来加密它们存储的敏感数据,例如登录信息、密码、cookie等。Arcane使用数据保护API(DPAPI)来获取这些密钥,这是窃密程序的典型做法。但Arcane还包含一个名为Xaitax的实用工具的可执行文件,用于破解浏览器密钥。为此,该实用工具会被投放到磁盘并隐秘启动,窃密程序从其控制台输出中获取所需的所有密钥。

该窃密程序还通过调试端口实现了从基于Chromium的浏览器中提取cookie的额外方法。木马会秘密启动一个带有“remote-debugging-port”参数的浏览器副本,然后连接到调试端口,发出访问多个网站的命令,并请求其cookie。它访问的资源列表如下:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12

https://gmail.com,
https://drive.google.com,
https://photos.google.com,
https://mail.ru,
https://rambler.ru,
https://steamcommunity.com,
https://youtube.com,
https://avito.ru,
https://ozon.ru,
https://twitter.com,
https://roblox.com,
https://passport.yandex.ru

ArcanaLoader

在发现该窃密程序几个月后,我们注意到了一种新的传播模式。威胁行为者不再宣传游戏作弊工具,而是转向在其YouTube频道上为ArcanaLoader打广告。这是一个具有图形用户界面的加载器,用于下载和运行最流行的破解程序、作弊工具和其他类似软件。通常情况下,视频中的链接指向一个可执行文件,该文件会下载包含ArcanaLoader的存档。

加载器本身包含了指向开发者Discord服务器的链接,该服务器设有新闻、支持和下载新版本链接的频道。

与此同时,一个Discord频道发布了一则广告,寻找博主来推广ArcanaLoader。

遗憾的是,主要的ArcanaLoader可执行文件中包含了前面提到的Arcane窃密程序。

受害者

Discord服务器上的所有对话均使用俄语,新闻频道和YouTube视频也使用该语言。显然,攻击者针对的是俄语受众。我们的遥测数据证实了这一假设:大多数受攻击的用户位于俄罗斯、白俄罗斯和哈萨克斯坦。

结论

多年来,攻击者一直使用作弊工具和破解程序作为传播各种恶意软件的流行手段,并且很可能会继续这样做。这项特定活动的有趣之处在于,它说明了网络犯罪分子是多么灵活,总是在更新他们的工具和分发方法。此外,Arcane窃密程序本身也很有趣,因为它收集了各种各样的数据,并采用了独特的技巧来提取攻击者想要的信息。为了防范这些威胁,我们建议对作弊工具和破解程序等可疑软件的广告保持警惕,避免点击陌生博主的链接,并使用强大的安全软件来检测和解除快速演变的恶意软件。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次