Los videos de YouTube que promocionan trucos para juegos están siendo utilizados como señuelo para distribuir un nuevo malware ladrón llamado Arcane, el cual está dirigido principalmente a usuarios de habla rusa.
¿Qué es el malware Arcane y cómo se propaga?
Este malware, descubierto por Kaspersky, recopila una gran cantidad de datos confidenciales de los sistemas infectados, incluyendo credenciales de juegos, clientes VPN y herramientas de red.
La cadena de ataque sigue estos pasos:
- Los atacantes publican videos en YouTube promocionando trucos o hacks de juegos populares.
- En la descripción del video, incluyen un enlace a un archivo protegido con contraseña.
- Al descargar y abrir el archivo, se extrae un script start.bat que, mediante PowerShell, descarga y ejecuta un nuevo archivo malicioso.
- Este script desactiva las protecciones de Windows SmartScreen y permite la ejecución del malware.
- Se instalan dos ejecutables:
- Un minero de criptomonedas.
- Un ladrón de información llamado VGS, que es una variante del malware Phemedrone Stealer.
Desde noviembre de 2024, los atacantes han comenzado a reemplazar VGS con Arcane, una nueva amenaza más avanzada y difícil de detectar.
¿Qué información roba el malware Arcane?
El malware Arcane extrae una gran cantidad de datos confidenciales, incluyendo:
Credenciales y configuraciones de aplicaciones
- Clientes VPN: OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, ProtonVPN, CyberGhost, ExpressVPN, entre otros.
- Utilidades de red: ngrok, Playit, Cyberduck, FileZilla y DynDNS.
- Mensajería: ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber y Viber.
- Correo electrónico: Microsoft Outlook.
- Clientes de juegos: Riot Client, Epic Games, Steam, Ubisoft Connect, Roblox, Battle.net y Minecraft.
- Billeteras criptográficas: Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda y Coinomi.
Información adicional recopilada
- Capturas de pantalla del dispositivo infectado.
- Lista de procesos en ejecución.
- Redes Wi-Fi almacenadas y sus contraseñas.
- Claves únicas de los navegadores (para descifrar contraseñas, cookies y datos de inicio de sesión).
¿Cómo opera Arcane para evadir detección?
Arcane emplea múltiples técnicas para evitar ser detectado por soluciones de seguridad:
- Uso de la API DPAPI de Windows para extraer claves de cifrado de los navegadores.
- Ejecución encubierta de la herramienta Xaitax para descifrar credenciales almacenadas.
- Extracción de cookies desde navegadores Chromium ejecutándolos a través de un puerto de depuración.
ArcanaLoader: el nuevo método de infección
Los atacantes han desarrollado un nuevo cargador de malware llamado ArcanaLoader. Este software se presenta como una herramienta para descargar trucos de juegos, pero en realidad instala el malware Arcane en el sistema de la víctima.
Los principales objetivos de esta campaña son usuarios en Rusia, Bielorrusia y Kazajistán.
La evolución de las amenazas cibernéticas
Según Kaspersky, esta campaña demuestra cómo los ciberdelincuentes están evolucionando constantemente, actualizando sus herramientas y métodos de distribución para maximizar su alcance y efectividad.
Arcane representa una amenaza grave debido a su capacidad avanzada de recolección de datos y los métodos sofisticados que emplea para eludir la detección.
¿Cómo protegerse de Arcane y otras amenazas similares?
- Evita descargar archivos desde enlaces desconocidos en YouTube.
- Utiliza software de seguridad confiable y mantenlo actualizado.
- Habilita protecciones avanzadas en tu navegador para evitar la ejecución de scripts sospechosos.
- No ejecutes archivos descargados de fuentes no oficiales, especialmente si requieren desactivar medidas de seguridad de Windows.
- Mantén tu sistema operativo y programas actualizados para evitar vulnerabilidades explotables.
Fuente: The Hacker News
