Поделиться
Cтилер Arcane распространяется под видом читов для Minecraft
Эксперты «Лаборатории Касперского» выявили новую схему распространения стилера Arcane, обнаруженного в 2024 г. Злоумышленники создали загрузчик ArcanaLoader, который якобы нужен для скачивания популярных читов для игр, например Minecraft, но на деле заражает устройства геймеров зловредом. Большинство атакованных пользователей, по данным телеметрии «Лаборатории Касперского», находится в России, Белоруссии и Казахстане.
Как работает новая схема. Неизвестная группа злоумышленников начинала распространение Arcane с размещения рекламы на YouTube. В описание к видео блогеров добавлялась ссылка на архив якобы с читами, который на самом деле содержал стилер. Однако в конце 2024 г. атакующие усовершенствовали схему. Теперь они стали рекламировать не архив, а ArcanaLoader. Это загрузчик с графическим интерфейсом, нужный якобы для скачивания популярных среди геймеров читов, кряков и прочего подобного ПО. На деле после его запуска геймеры получают не обещанные программы, а заражённое стилером Arcane устройство.
При этом злоумышленники не остановились лишь на разработке загрузчика. Они создали Discord-сервер, где находятся каналы с новостями о читах, поддержкой и ссылками на скачивание новых версий ArcanaLoader. Попутно на одном из Discord-каналов команда «Лаборатории Касперского» обнаружила объявления о поиске блогеров для рекламы на YouTube: предполагается, что они должны ставить ссылки на загрузчик в описание под своими роликами. Злоумышленникам нужны блогеры, у которых минимум 600 подписчиков, более 1,5 тыс. просмотров на ролик и два видео со ссылками. За рекламу исполнителям обещают новую роль на сервере, доступ к некоторым чатам и оплату за высокий трафик.
Что известно об Arcane. Эксперты «Лаборатории Касперского» обнаружили этот стилер, который умеет собирать множество разных данных с заражённого устройства, в конце 2024 г. Хотя многое в нём было позаимствовано из других подобных зловредов, пока не удалось отнести его к какому-либо известному семейству.
За какими данными «охотится» Arcane. В настоящий момент зловред умеет красть логины, пароли и данные платёжных карт. С его помощью злоумышленники также получают доступ к файлам конфигурации, информации о настройках и аккаунтах из игровых, почтовых, сетевых и VPN-клиентов, криптокошельков и других приложений. Кроме того, Arcane собирает системную информацию, например имя пользователя и устройства, и делает скриншоты экрана. При этом возможности стилера регулярно меняются.
«Популярные компьютерные игры привлекают интерес не только геймеров, но и злоумышленников. В целом методы последних довольно стандартны. Однако мы видим, что в случае с Arcane атакующие усовершенствовали свои инструменты, начав распространять стилер не просто в архиве: теперь в качестве приманки они используют загрузчик с популярными читами. Таким образом злоумышленники стремились придать кампании больше мнимой легитимности», — сказал Олег Купреев, эксперт по кибербезопасности в «Лаборатории Касперского».
Чтобы защититься от вредоносов, подобных Arcane, «Лаборатория Касперского» рекомендует: с подозрением относиться к читам, особенно для Minecraft и Roblox: любителей этих игр злоумышленники атакуют чаще других; внимательно изучать любую рекламу: практика показывает, что даже проверенные блогеры иногда могут распространять зловреды, не догадываясь об этом; не хранить логины, пароли и банковскую информацию в браузерах: это пусть и удобный, но очень рискованный способ; защитить устройство с помощью Kaspersky Premium.
Поделиться
Короткая ссылка
