Arcane Stealer Malware

サイバー犯罪者は、ゲームのチートを宣伝する YouTube 動画を利用して、新たに特定された Arcane というマルウェアを配布しています。この窃盗型マルウェアは主にロシア語圏のユーザーをターゲットにしており、侵害されたシステムから広範囲の機密データを収集することができます。

秘術の広がり方

この攻撃は、YouTube 動画に埋め込まれたリンクから始まり、何も知らないユーザーをパスワードで保護されたアーカイブに誘導します。解凍すると、これらのアーカイブには start.bat バッチ ファイルが含まれており、PowerShell を使用して追加のファイルをダウンロードして実行します。このプロセス中は、セキュリティ対策を回避するために Windows SmartScreen 保護が無効になります。

このマルウェアは、暗号通貨マイナーとスティーラーマルウェアという 2 つの主要コンポーネントを実行します。当初、スティーラーは Phemedrone Stealer の亜種である VGS であると特定されていましたが、2024 年 11 月までに攻撃者は Arcane を使用するようになりました。Arcane は他のスティーラーから要素を借用していますが、研究者はこれを特定のマルウェア ファミリーに関連付けていません。

アーケインが盗むデータ

Arcane は、Chromium ベースと Gecko ベースの両方のブラウザに保存されているログイン認証情報、パスワード、クレジットカード情報、Cookie など、さまざまな機密情報を抽出するように設計されています。また、システム データも収集します。このマルウェアは、次のようなさまざまなアプリケーションから構成ファイル、設定、アカウントの詳細を抽出します。

• VPN クライアント: OpenVPN、Mullvad、NordVPN、IPVanish、Surfshark、Proton、hidemy.name、PIA、CyberGhost、ExpressVPN
• ネットワーク クライアントとユーティリティ: ngrok、Playit、Cyberduck、FileZilla、DynDNS
• メッセージング アプリ: ICQ、Tox、Skype、Pidgin、Signal、Element、Discord、Telegram、Jabber、Viber
• 電子メールクライアント: Microsoft Outlook
• ゲームクライアントとサービス: Riot Client、Epic、Steam、Ubisoft Connect (旧 Uplay)、Roblox、Battle.net、さまざまな Minecraft クライアント
• 暗号ウォレット: Zcash、Armoury、Bytecoin、Jaxx、Exodus、Ethereum、Electrum、Atomic、Guarda、Coinomi

Arcane は、標準的な認証情報の盗難を超えて、高度な技術を使用してデータ収集を強化します。データ保護 API (DPAPI) を利用して、ブラウザが保存されているパスワードと Cookie を保護するために使用する暗号化キーを抽出します。さらに、Xaitax ユーティリティの隠しインスタンスを実行してこれらの暗号化キーを解読し、保存されている認証情報への完全なアクセスを確保します。Chromium ベースのブラウザから認証 Cookie を抽出するために、従来のセキュリティ バリアをバイパスして、デバッグ ポートを通じてブラウザのコピーを起動します。

ArcanaLoaderの登場

攻撃者は戦術をさらに進化させ、ゲームチートをダウンロードするソフトウェアを装った脅威的なツール、ArcanaLoader を導入しました。このツールはチートの代わりに Arcane を展開し、マルウェアの影響範囲をさらに拡大します。この攻撃は主にロシア、ベラルーシ、カザフスタンのユーザーをターゲットにしています。

急速に変化するサイバー脅威

Arcane マルウェア キャンペーンは、攻撃方法を絶えず改良するサイバー犯罪者の適応力を浮き彫りにしています。Arcane は、広範なデータ収集機能と暗号化された情報を抽出する高度な技術で際立っています。この活動は、一見無害なゲーム チートのダウンロードでさえ、深刻なセキュリティ脅威への入り口になり得ることを思い出させてくれます。