O recém-descoberto malware Arcane está sendo utilizado para roubar credenciais de contas VPN, clientes de jogos, aplicativos de mensagens e informações armazenadas em navegadores da web. De acordo com a Kaspersky, o atual Arcane não apresenta nenhuma ligação com o Arcane Stealer V, um malware que circula na dark web há anos. A campanha do Arcane teve início em novembro de 2024 e passou por diversas modificações, incluindo mudanças na carga primária. A maioria das infecções ocorre na Rússia, Bielorrússia e Cazaquistão, o que chama atenção, pois agentes de ameaças russos normalmente evitam atacar usuários dentro do próprio país e da Comunidade dos Estados Independentes (CEI) para evitar represálias das autoridades locais.
Leia também
Desenvolvedor do LockBit é extraditado para os EUA
Hackers injetam ladrões de cartão em módulos de pagamentos
A campanha de distribuição do Arcane se baseia em vídeos no YouTube que promovem truques e cracks de jogos, enganando usuários a seguir links para baixar arquivos protegidos por senha. Esses arquivos contêm um script altamente ofuscado que executa um segundo arquivo protegido, responsável por baixar os executáveis maliciosos. Os arquivos baixados adicionam uma exclusão ao filtro SmartScreen do Windows Defender para todas as pastas raiz da unidade ou desativam completamente essa proteção por meio de alterações no Registro do Windows. Inicialmente, os ataques usavam o malware VGS, uma versão renomeada do trojan Phemedrone, mas desde novembro de 2024 os operadores migraram para o Arcane.
A Kaspersky identificou que os operadores do Arcane também utilizam o downloader ArcanaLoader, que é distribuído como um suposto instalador de cracks e cheats para jogos populares. Esse loader tem sido promovido no YouTube e no Discord, com os operadores chegando a pagar criadores de conteúdo para divulgá-lo.
O Arcane é particularmente perigoso porque rouba uma grande quantidade de dados. Ele primeiro cria um perfil detalhado do sistema infectado, coletando informações de hardware e software, como versão do sistema operacional, detalhes da CPU e GPU, além de dados sobre os antivírus e navegadores instalados. O malware também rouba credenciais, arquivos de configuração e informações de diversas aplicações, incluindo clientes VPN como OpenVPN, Mullvad, NordVPN, Surfshark e Proton, ferramentas de rede como Cyberduck e FileZilla, mensageiros como Signal, Telegram, Discord e Skype, clientes de e-mail como Outlook e plataformas de jogos como Steam, Epic, Riot Client, Ubisoft Connect e Roblox. Além disso, o Arcane tem como alvo carteiras de criptomoedas como Ethereum, Electrum, Exodus e Coinomi, além de armazenar logins, senhas e cookies de navegadores baseados em Chromium, afetando serviços como Gmail, Steam, YouTube, Twitter e Roblox. O malware ainda captura capturas de tela que podem expor informações sensíveis e recupera senhas de redes Wi-Fi salvas.
Apesar de atualmente estar mais ativo em regiões específicas, o Arcane pode expandir sua atuação para outros países e alvos. Ser infectado por um malware como esse pode resultar em fraudes financeiras, extorsão e ataques futuros, tornando a recuperação um processo trabalhoso, exigindo que as vítimas redefinam todas as suas senhas e verifiquem possíveis comprometimentos de contas. Para evitar esse tipo de ameaça, os usuários devem ter extremo cuidado ao baixar ferramentas piratas e programas de trapaça, pois o risco de infecção é extremamente alto.
Comentários