Los videos de YouTube que promueven los trucos del ocio se están utilizando para entregar un malware de robador previamente indocumentado llamado Enigma Probablemente dirigido a usuarios de deje rusa.
“Lo intrigante de este malware es cuánto recopila”, dijo Kaspersky en un investigación. “Toma la información de la cuenta de los clientes VPN y juegos, y todo tipo de utilidades de red como Ngrok, Playit, CyberDuck, Filezilla y Dyndns”.
Las cadenas de ataque implican compartir enlaces a un archivo protegido por contraseña en los videos de YouTube, que, cuando se abre, desempaqueta un archivo auténtico. Bat Batch que es responsable de recuperar otro archivo de archivo a través de PowerShell.
El archivo por lotes luego utiliza PowerShell para iniciar dos ejecutables integrados en el interior del archivo recién descargado, al tiempo que deshabilita las protecciones de pantalla inteligente de Windows y cada carpeta de raíz de la mecanismo a las excepciones de filtro SmartScreen.
De los dos binarios, uno es un minero de criptomonedas y el otro es un robador llamado VGS que es una variable del malware del robador de femedrona. A partir de noviembre de 2024, se ha opuesto que los ataques reemplazan a VGS con Arcane.
“Aunque gran parte fue tomado de otros robos, no pudimos atribuirlo a ninguna de las familias conocidas”, señaló la compañía de seguridad cibernética rusa.
Encima de robar credenciales de inicio de sesión, contraseñas, datos de tarjetas de crédito y cookies de varios navegadores basados en Chromium y Gecko, Arcane está equipado para cosechar datos integrales del sistema, así como archivos de configuración, configuraciones e información de cuenta de varias aplicaciones como los seguidores,
- Clientes VPN: OpenVPN, Mullvad, Nordvpn, Ipvanish, Surfshark, Proton, Hidemy.Name, PIA, Cyberghost y ExpressVPN
- Clientes y utilidades de la red: ngrok, playit, cyberDuck, filezilla y dyndns
- Aplicaciones de correo: ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber y Viber
- Clientes de correo electrónico: Microsoft Outlook
- CLIENTES Y SERVICIOS DE JUEGOS: Riot Client, Epic, Steam, Ubisoft Connect (ex Suplay), Roblax, Battle.net y varios clientes de Minecraft
- Billeteras criptográficas: Zcash, Armory, Bytecoin, Xax, Exodus, Ethereum, Electrum, Atomic, Cuidador y Coinomi
Encima, Arcane está diseñado para tomar capturas de pantalla del dispositivo infectado, enumerar los procesos de ejecución y la repertorio de redes Wi-Fi guardadas y sus contraseñas.
“La mayoría de los navegadores generan claves únicas para encriptar datos confidenciales que almacenan, como inicios de sesión, contraseñas, cookies, etc.”, dijo Kaspersky. “Arcane utiliza la API de protección de datos (DPAPI) para obtener estas claves, que es típica de los robadores”.
“Pero Arcane incluso contiene un archivo ejecutable de la utilidad Xaitax, que utiliza para descifrar las claves del navegador. Para hacer esto, la utilidad se cae al disco y se bichero ajuste, y el robador obtiene todas las claves que necesita de la salida de su consola”.
Encima de sus capacidades, el malware del robador implementa un método separado para extraer cookies de navegadores basados en cromo que bichero una copia del navegador a través de un puerto de depuración.
Desde entonces, los actores de amenaza no identificados detrás de la operación han ampliado sus ofertas para incluir un cargador llamado Arcanaloader que aparentemente está destinado a descargar trucos de juegos, pero entrega el malware del robador. Rusia, Bielorrusia y Kazajstán se han convertido en los principales objetivos de la campaña.
“Lo interesante de esta campaña en particular es que ilustra cuán flexibles son los cibercriminales, siempre actualizando sus herramientas y los métodos para distribuirlas”, dijo Kasperksy. “Encima, el robador enigmático es fascinante correcto a todos los diferentes datos que recopila y los trucos que utiliza para extraer la información que los atacantes quieren”.
