Arcane, il nuovo infostealer che ruba password e dati privati e si diffonde tramite video di YouTube che promettono cheat per videogiochi

Un nuovo sofisticato malware denominato Arcane sta raccogliendo i dati sensibili degli utenti, in particolare concentrandosi su credenziali VPN, dati di client di gioco, informazioni dalle app di messaggistica e contenuti salvati nei browser web. Gli esperti di sicurezza di Kaspersky hanno precisato che questo malware non ha alcun legame o sovrapposizione di codice con il vecchio Arcane Stealer V, che circola nel dark web ormai da anni, confermando che si tratta di una minaccia completamente nuova. La campagna di diffusione di Arcane è iniziata a novembre 2024 e ha già attraversato diverse fasi evolutive, inclusa la sostituzione del payload primario, dimostrando il costante aggiornamento delle sue capacità offensive.

Di particolare interesse è il fatto che tutte le comunicazioni e i post pubblici degli operatori di Arcane sono in russo, con i dati telemetrici di Kaspersky che mostrano come la maggior parte delle infezioni sia concentrata in Russia, Bielorussia e Kazakistan. Si tratta di uno scenario un po' insolito nel panorama delle minacce informatiche, poiché tradizionalmente gli attori malevoli basati in Russia evitano di prendere di mira utenti nel proprio paese per non entrare in conflitto con le autorità locali. La scelta di colpire proprio queste aree geografiche potrebbe indicare un cambiamento nelle dinamiche del cybercrime regionale o obiettivi strategici specifici ancora non del tutto chiari agli analisti di sicurezza.

La campagna di distribuzione di Arcane Stealer si basa su una strategia collaudata ed efficace: la "mano" dietro al malware pubblica video su YouTube che promuovono cheat e crack per videogiochi popolari, attirando gli utenti con la promessa di vantaggi competitivi o contenuti gratuiti. Le vittime vengono spinte a scaricare un archivio protetto da password che contiene uno script "start.bat" fortemente offuscato per nascondere le sue reali intenzioni.

Questo script avvia una catena di infezione che scarica un secondo archivio, anch'esso protetto da password, e contenente eseguibili malevoli che aggiungono un'esclusione al filtro SmartScreen di Windows Defender per tutte le cartelle root o lo disattivano completamente attraverso modifiche al registro di Windows, garantendo che il malware rimanga non rilevato dai sistemi di protezione standard per poter operare indisturbato.

Originariamente gli attacchi facevano uso di un altro malware di tipo infostealer e chiamato VGS, una versione rinominata del trojan Phemedrone. E' dal novembre 2024 che l'attore di minaccia ha adottato Arcane, con la volontà di perfezionare i loro strumenti e tecniche per massimizzare l'efficacia dei loro attacchi e ridurre al minimo le possibilità di rilevamento.

Negli ultimi mesi i ricercatori di Kaspersky hanno rilevato un ulteriore cambiamento nel metodo di distribuzione del malware. Gli attaccanti hanno iniziato a utilizzare ArcanaLoader, un downloader con interfaccia grafica che si presenta come uno strumento necessario per installare cheat, crack e software simili. Com'è facile intuire, ArcanaLoader è in realtà un vettore per infettare i dispositivi con lo stealer Arcane.

Ma gli aggressori hanno elevato ulteriormente il loro modus operandi, con la creazione di un server Discord dedicato supportare il loro schema fraudolento. Tra le varie attività, il server viene utilizzato per reclutare YouTuber disposti a pubblicare link ad ArcanaLoader nelle descrizioni dei loro video. I requisiti per il reclutamento sono minimi: almeno 600 iscritti, oltre 1500 visualizzazioni e almeno due video caricati con link al downloader malevolo. In cambio, ai partecipanti viene promesso un nuovo ruolo sul server, la possibilità di pubblicare video nella chat, l'aggiunta immediata di cheat richiesti al downloader e potenziali guadagni economici per la generazione di traffico elevato. Questa strategia di marketing malevolo permette una diffusione più ampia e credibile del malware, sfruttando l'influenza degli youtuber sui loro follower.

I ricercatori di Kaspersky hanno analizzato il comportamento di Arcane, rilevando che il malware dapprima opera una profilazione del sistema compromesso, e sottrae informazioni come la versione del sistema operativo, i modelli di CPU e GPU presenti, gli antivirus installati e i browser in uso. Dopo questa fase il malware passa al setaccio le app presenti sul sistema con particolare attenzione per client VPN come OpenVPN, Mullvad, NordVPN, Surfshark e molti altri; dati da strumenti di rete come ngrok, Cyberduck e FileZilla; informazioni da app di messaggistica come ICQ, Skype, Signal, Discord e Telegram; dati da client di posta elettronica come Outlook; informazioni da client di gioco come Riot Client, Epic Games, Steam, Roblox e Battle.net; credenziali di portafogli di criptovalute come Zcash, Exodus ed Ethereum; e infine dati dai browser web, inclusi login salvati, password e cookie per servizi come Gmail, Google Drive, YouTube, Twitter e Roblox.

La funzionalità di Arcane per il furto di dati dai browser merita particolare attenzione per la sua sofisticazione. La maggior parte dei browser genera chiavi uniche per criptare i dati sensibili che memorizzano, come login, password e cookie e Arcane utilizza la Data Protection API (DPAPI) per ottenere queste chiavi, ma implementa anche metodi aggiuntivi come l'utilizzo dell'utility Xaitax per forzare le chiavi dei browser e una tecnica unica per estrarre i cookie attraverso una porta di debug, lanciando di nascosto istanze del browser.

Nonostante, come notato in precedenza, questa campagna appaia localizzata, le capacità dello stealer lo rendono una potenziale minaccia globale se i suoi metodi di distribuzione dovessero espandersi. La sofisticazione delle tecniche di evasione e la vasta gamma di dati che è in grado di sottrarre lo rendono uno strumento particolarmente pericoloso nelle mani di attori malevoli.

Essere colpiti da un infostealer come Arcane può avere conseguenze potenzialmente anche serie, come truffe, estorsioni, furto d'identità e ulteriori attacchi. Le azioni da compiere a seguito di una compromissione da infostealer richiedono un elevato dispendio di tempo, poiché è necessario cambiare le password su ogni sito web e applicazione utilizzata e assicurarsi che non siano compromesse.