Oprez! Novi virus širi se kroz YouTube
22.03.2025. | 20:01Kompanija Kaspersky naišla je na novi tip malvera koji se širi putem platforme YouTube.
Novootkriveni malver za krađu informacija pod nazivom Arcane Stealer krade mnoštvo korisničkih podataka, uključujući podatke za prijavljivanje za VPN naloge, klijente igara, aplikacija za slanje poruka i informacije iz veb pregledača. Malver nema veze niti kod koji se preklapa sa Arcane Stealer V, malverom koji već godinama cirkuliše tamnim vebom.
Kampanja koja distribuira Arcane Stealer odvija se na YouTube-u (ali i Discordu), a malver se širi putem video snimaka na platformi koji promovišu varalice za igre i krekove. Korisnici se podstiču da kliknu na link za preuzimanje arhive zaštićene lozinkom a to se na kraju završava infekcijom uređaja malverom Arcane Stealer.
“Ono što je intrigantno u vezi sa ovim malverom je koliko podataka prikuplja”, navodi se u izvještaju kompanije Kaspersky čiji su istraživači otkrili Arcane Stealer.
Napad počinje na YouTube-u linkom za arhivu zaštićenu lozinkom koja, kada se otvori, raspakuje start.bat fajl koji preuzima drugu arhivu zaštićenu lozinkom koja sadrži dva izvršna fajla. Preuzeti fajlovi onemogućavaju zaštitu SmartScreen-a Windows Defender-a.
Od dva fajla, jedan je za rudarenje kriptovaluta, a drugi je kradljivac podataka VGS, koji je rebrendirana verzija trojanca Phemedrone. Istraživači kažu da su primetili da je od novembra 2024. VGS zamenjen sa Arcane, prenosi Informacija.rs.
Ugrožene i brojne druge aplikacije
Pored krađe podataka za prijavljivanje, lozinki, podataka o kreditnim karticama i kolačića iz različitih pretraživača baziranih na Chromium-u i Gecko-u, Arcane može da prikupi sveobuhvatne sistemske podatke, kao i konfiguracione fajlove, podešavanja i informacije o nalogu iz brojnih aplikacija.
Samo neke od aplikacija odakle može da prikupi podatke su OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost i ExpressVPN; zatim, ngrok, Playit, Cyberduck, FileZilla i DynDNS; ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber i Viber; Microsoft Outlook; Riot Client, Epic, Steam, Ubisoft Connect, Roblox, Battle.net i Minecraft; i kripto novčanici Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda i Coinomi.
Arcane takođe pravi snimke ekrana koji mogu otkriti osjetljive informacije o tome šta radite na računaru i preuzima sačuvane lozinke za Wi-Fi mrežu.
Neidentifikovani napadači koji stoje iza operacije nedavno su promijenili i metod distribucije i sada koriste lažni softver za preuzimanje varalica za igre i krekova pod nazivom ArcanaLoader. Ali umjesto obećanog, ovaj program preuzima malver Arcane.
Za sada su Rusija, Belorusija i Kazahstan primarne mete kampanje. Ovo je neobično, pošto većina sajber kriminalaca iz Rusije obično izbjegava korisnike u zemlji i drugim zemljama ZND da bi izbjegli probleme sa lokalnim vlastima. Međutim, iako Arcane trenutno cirkuliše u navedenim zemljama, njegovi operateri bi mogli to da promene u svakom trenutku, i da napade prošire na druge zemlje.
“Arcane je fascinantan zbog svih različitih podataka koje prikuplja i trikova koje koristi da izvuče informacije koje napadači žele”, navodi se u izveštaju kompanije Kaspersky.
Infekcija malverom koji krade podatke kao što je Arcane može imati razorne posljedice – od finansijskih prevara, preko iznude do novih napada.
Čišćenje uređaja nakon ovakvih infekcija zahtijeva vreme jer morate i da promijenite lozinke na svakom veb sajtu i u aplikaciji koju koristite i da provjerite da li su lozinke kompromitovane. Lakše je uzdržati se od preuzimanja piratskih alata i alata za varanje. Rizik od ovih programa je preveliki i treba ih u potpunosti izbjegavati.
