Nuevo InfoStealer de Arcane infecta a usuarios de YouTube y Discord

Iniciado por AXCESS, Marzo 20, 2025, 03:12:36 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Marzo 20, 2025, 03:12:36 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Arcane, un malware recientemente descubierto que roba información, está robando una gran cantidad de datos de usuarios, incluyendo credenciales de cuentas VPN, clientes de juegos, aplicaciones de mensajería e información almacenada en navegadores web.

Según Kaspersky, el malware no tiene vínculos ni código que se superponga con Arcane Stealer V, que lleva años circulando en la dark web.

La campaña de malware Arcane comenzó en noviembre de 2024, tras haber pasado por varias etapas evolutivas, incluyendo la sustitución de la carga útil principal.

Todas las conversaciones y publicaciones públicas de sus operadores están en ruso, y la telemetría de Kaspersky muestra que la mayoría de las infecciones de Arcane se producen en Rusia, Bielorrusia y Kazajistán.

Esto es especialmente destacable, ya que la mayoría de los actores de amenazas con sede en Rusia suelen evitar atacar a usuarios dentro del país y otros países de la CEI para evitar conflictos con las autoridades locales.

Cadena de infección de Arcane Stealer

La campaña que distribuye Arcane Stealer se basa en vídeos de YouTube que promocionan trucos (cheats) y cracks de juegos, engañando a los usuarios para que sigan un enlace y descarguen un archivo comprimido protegido con contraseña.

Estos archivos contenían un script 'start.bat' altamente ofuscado que obtenía un segundo archivo comprimido protegido con contraseña con ejecutables maliciosos.

Los archivos descargados añaden una exclusión al filtro SmartScreen de Windows Defender para todas las carpetas raíz de la unidad o lo desactivan por completo mediante modificaciones del Registro de Windows.

Diagrama de la cadena de infección


Anteriormente, los ataques utilizaban otra familia de malware ladrón llamada VGS, una versión renombrada del troyano Phemedrone, pero en noviembre de 2024 cambiaron a Arcane.

Kaspersky también detectó cambios recientes en el método de distribución, incluyendo el uso de un descargador de software falso, supuestamente para hacks y trucos de juegos populares, llamado ArcanaLoader.

ArcanaLoader ha recibido una gran promoción en YouTube y Discord, y sus operadores incluso invitan a los creadores de contenido a promocionarlo en sus blogs y vídeos a cambio de una tarifa.

Intentando reclutar creadores de YouTube en Discord


Robo de una gran cantidad de datos

Kaspersky comenta que el amplio robo de datos de Arcane lo distingue en el popular sector de los robos de información.

Primero, perfila el sistema infectado, robando detalles de hardware y software, como la versión del sistema operativo, la CPU y la GPU, el antivirus instalado y los navegadores.

La versión actual del malware ataca los datos de cuenta, la configuración y los archivos de configuración de las siguientes aplicaciones:

Clientes VPN: OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, PIA, CyberGhost, ExpressVPN

Herramientas de red: ngrok, Playit, Cyberduck, FileZilla, DynDNS

Mensajes: ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber

Clientes de correo electrónico: Outlook

Clientes de juegos: Riot Client, Epic, Steam, Ubisoft Connect (ex-Uplay), Roblox, No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, varios clientes de Minecraft

Monederos de criptomonedas: Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi

Navegadores web: Inicios de sesión, contraseñas y cookies guardadas (para Gmail, Google Drive, Google Photos, Steam, YouTube, Twitter, Roblox) de navegadores basados en Chromium.

Arcane también realiza capturas de pantalla que pueden revelar información confidencial sobre lo que haces en el ordenador y recupera las contraseñas guardadas de las redes Wi-Fi.

Aunque Arcane actualmente tiene un objetivo específico, sus operadores podrían ampliarlo para cubrir más países o temas.

Infectarse con un ladrón de información es devastador y puede provocar fraude financiero, extorsión y futuros ataques. Limpiar después de estos ataques supone una pérdida de tiempo considerable, ya que es necesario cambiar las contraseñas de todos los sitios web y aplicaciones que se utilizan y asegurarse de que no se vean comprometidas.

Por lo tanto, los usuarios siempre deben tener en cuenta los riesgos de descargar herramientas piratas y de trampas sin firmar. El riesgo de estas herramientas es demasiado alto y deben evitarse por completo.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario