20/03/25
Эксперты «Лаборатории Касперского» выявили новую схему распространения стилера Arcane, обнаруженного в 2024 году. Злоумышленники создали загрузчик ArcanaLoader, который якобы нужен для скачивания популярных обманных ходов для игр, например Minecraft, но на деле заражает устройства игроков зловредом. Большинство атакованных пользователей, по данным телеметрии «Лаборатории Касперского», находится в России, Беларуси и Казахстане*.
Как работает новая схема. Неизвестная группа злоумышленников начинала распространение Arcane с размещения рекламы на YouTube. В описание к видео блогеров добавлялась ссылка на архив якобы с читами, который на самом деле содержал стилер. Однако в конце 2024 года атакующие усовершенствовали схему. Теперь они стали рекламировать не архив, а ArcanaLoader. Это загрузчик с графическим интерфейсом, нужный якобы для скачивания популярных среди игроков ходов, взломов и прочего подобного ПО. На деле после его запуска игроки получают не обещанные программы, а заражённое стилером Arcane устройство.
При этом злоумышленники не остановились лишь на разработке загрузчика. Они создали Discord-сервер, где находятся каналы с новостями о читах, поддержкой и ссылками на скачивание новых версий ArcanaLoader. Попутно на одном из Discord-каналов команда «Лаборатории Касперского» обнаружила объявления о поиске блогеров для рекламы на You-Tube: предполагается, что они должны ставить ссылки на загрузчик в описание под своими роликами. Злоумышленникам нужны блогеры, у которых минимум 600 подписчиков, более 1500 просмотров на ролик и два видео со ссылками. За рекламу исполнителям обещают новую роль на сервере, доступ к некоторым чатам и оплату за высокий трафик.
Что известно об Arcane. Эксперты «Лаборатории Касперского» обнаружили этот стилер, который умеет собирать множество разных данных с заражённого устройства, в конце 2024 года. Хотя многое в нём было позаимствовано из других подобных зловредов, пока не удалось отнести его к какому-либо известному семейству.
За какими данными «охотится» Arcane. В настоящий момент зловред умеет красть логины, пароли и данные платёжных карт. С его помощью злоумышленники также получают доступ к файлам конфигурации, информации о настройках и аккаунтах из игровых, почтовых, сетевых и VPN-клиентов, криптокошельков и других приложений. Кроме того, Arcane собирает системную информацию, например имя пользователя и устройства, и делает скриншоты экрана. При этом возможности стилера регулярно меняются.
«Популярные компьютерные игры привлекают интерес не только геймеров, но и злоумышленников. В целом методы последних довольно стандартны. Однако мы видим, что в случае с Arcane атакующие усовершенствовали свои инструменты, начав распространять стилер не просто в архиве: теперь в качестве приманки они используют загрузчик с популярными читами. Таким образом злоумышленники стремились придать кампании больше мнимой легитимности», — комментирует Олег Купреев, эксперт по кибербезопасности в «Лаборатории Касперского».
