Vídeos no YouTube que promovem cheats para jogos estão sendo usados como isca para disseminar um novo malware ladrão, chamado Arcane Stealer, com foco em usuários de língua russa.
Cheats de jogos no YouTube espalham malware Arcane Stealer para usuários russos
De acordo com uma análise da Kaspersky, o Arcane Stealer se destaca pela quantidade de informações que consegue coletar. Ele visa não apenas credenciais de jogos e contas VPN, mas também ferramentas de rede como ngrok, Playit, Cyberduck, FileZilla e DynDNS.
O método de ataque envolve a divulgação de links para arquivos protegidos por senha nos vídeos. Quando baixado e extraído, um arquivo em lote chamado start.bat executa comandos via PowerShell para baixar e executar novos arquivos maliciosos.
Além disso, o código malicioso desativa proteções do Windows SmartScreen e cria exceções para evitar a detecção pelo sistema operacional. Essa estratégia permite que os atacantes executem suas ações sem levantar suspeitas.
O que o Arcane Stealer pode roubar
A ameaça é capaz de obter uma grande variedade de informações sigilosas, incluindo:
- Credenciais e dados pessoais: Logins, senhas, cookies e informações de cartões de crédito de navegadores baseados em Chromium e Gecko.
- Contas VPN: OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost e ExpressVPN.
- Ferramentas de rede: ngrok, Playit, Cyberduck, FileZilla e DynDNS.
- Aplicativos de mensagens: ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber e Viber.
- Plataformas de jogos: Riot Client, Epic Games, Steam, Ubisoft Connect, Roblox, Battle.net e Minecraft.
- Carteiras de criptomoedas: Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda e Coinomi.
Além disso, o malware pode fazer capturas de tela do dispositivo, listar redes Wi-Fi salvas e coletar processos em execução.
Técnicas avançadas de roubo de dados
Uma das funcionalidades mais avançadas do Arcane Stealer é sua capacidade de acessar chaves criptográficas dos navegadores, que são usadas para proteger informações sensíveis, como senhas e cookies. Para isso, ele utiliza a API de Proteção de Dados do Windows (DPAPI) e um utilitário chamado Xaitax, que permite quebrar essas chaves e extrair os dados protegidos.
Outro método empregado é a execução de uma versão do navegador em modo de depuração, o que facilita a extração de cookies e outras informações de login sem precisar quebrar a criptografia diretamente.
Expansão da ameaça
Os cibercriminosos por trás do Arcane Stealer também desenvolveram um carregador chamado ArcanaLoader, que se disfarça como um download legítimo de cheats para jogos. No entanto, em vez de fornecer as trapaças prometidas, o software infecta os dispositivos com o malware.
A campanha tem como principais alvos usuários na Rússia, Belarus e Cazaquistão. Segundo a Kaspersky, a ameaça demonstra a capacidade de adaptação dos criminosos virtuais, que constantemente aprimoram suas técnicas para driblar as proteções e maximizar os dados coletados.
Como se proteger
Para evitar ser vítima desse tipo de golpe, recomenda-se:
- Evitar o download de cheats e arquivos de fontes não confiáveis.
- Manter o sistema operacional e os softwares de segurança sempre atualizados.
- Usar autenticação em dois fatores para proteger contas sensíveis.
- Monitorar atividades suspeitas em contas e dispositivos.
O crescimento de malwares como o Arcane Stealer reforça a importância de boas práticas de segurança digital para evitar comprometer informações valiosas.