Malware ladrón arcano
Los ciberdelincuentes utilizan vídeos de YouTube que promocionan trucos de juegos para distribuir un malware recientemente identificado llamado Arcane. Este malware ladrón se dirige principalmente a usuarios de habla rusa y es capaz de recopilar una amplia gama de datos confidenciales de los sistemas comprometidos.
Tabla de contenido
Cómo se propaga lo arcano
El ataque comienza con enlaces incrustados en vídeos de YouTube que dirigen a usuarios desprevenidos a archivos protegidos con contraseña. Una vez extraídos, estos archivos contienen un archivo por lotes start.bat, que usa PowerShell para descargar y ejecutar archivos adicionales. Durante este proceso, la protección SmartScreen de Windows se desactiva para evadir las medidas de seguridad.
El malware ejecuta dos componentes clave: un minero de criptomonedas y un malware ladrón. Inicialmente, el ladrón se identificó como VGS, una variante del ladrón Phemedrone, pero para noviembre de 2024, los atacantes habían optado por Arcane. Si bien Arcane toma elementos de otros ladrones, los investigadores no lo han vinculado a ninguna familia de malware específica.
Los datos arcanos roban
Arcane está diseñado para extraer una amplia variedad de información confidencial, como credenciales de inicio de sesión, contraseñas, datos de tarjetas de crédito y cookies almacenadas en navegadores basados en Chromium y Gecko. También recopila datos del sistema. El malware extrae archivos de configuración, ajustes y detalles de cuentas de una amplia gama de aplicaciones, entre ellas:
- Clientes VPN : OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN
- Clientes y utilidades de red : ngrok, Playit, Cyberduck, FileZilla, DynDNS
- Aplicaciones de mensajería : ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber
- Clientes de correo electrónico : Microsoft Outlook
- Clientes y servicios de juegos : Riot Client, Epic, Steam, Ubisoft Connect (anteriormente Uplay), Roblox, Battle.net, varios clientes de Minecraft
- Carteras criptográficas : Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi
Además del robo de credenciales estándar, Arcane emplea técnicas sofisticadas para optimizar la recopilación de datos. Utiliza la API de Protección de Datos (DPAPI) para extraer las claves de cifrado que utilizan los navegadores para proteger las contraseñas y cookies almacenadas. Además, ejecuta una instancia oculta de la utilidad Xaitax para descifrar estas claves, garantizando así el acceso completo a las credenciales almacenadas. Para extraer las cookies de autenticación de los navegadores basados en Chromium, ejecuta una copia del navegador a través de un puerto de depuración, eludiendo las barreras de seguridad tradicionales.
El surgimiento de ArcanaLoader
En una nueva evolución de sus tácticas, los atacantes han introducido ArcanaLoader, una herramienta amenazante camuflada como software para descargar trucos de juegos. En lugar de trucos, la herramienta implementa Arcane, lo que amplía aún más el alcance del malware. La campaña se dirige principalmente a usuarios de Rusia, Bielorrusia y Kazajistán.
Una ciberamenaza que se adapta rápidamente
La campaña de malware Arcane pone de manifiesto la adaptabilidad de los ciberdelincuentes, que perfeccionan continuamente sus métodos de ataque. Arcane destaca por su amplia capacidad de recopilación de datos y sus técnicas avanzadas para extraer información cifrada. Esta operación sirve como recordatorio de que incluso las descargas de trucos de juegos aparentemente inofensivas pueden ser una puerta de entrada a graves amenazas de seguridad.
