Największą niespodzianką dla ekspertów było to, że Arcane, mimo że pochodzi najprawdopodobniej od rosyjskojęzycznych przestępców, atakuje głównie internautów z Rosji, Kazachstanu i Białorusi. Dotąd cyberprzestępcy z tych rejonów świata zazwyczaj unikali atakowania swoich rodaków, by nie ściągnąć na siebie uwagi lokalnych organów ścigania. Tym razem jednak coś się zmieniło – atakują swoich bez wahania.
Jak Arcane infekuje komputery?
Mechanizm infekcji jest podstępny i skuteczny. Ofiary zachęcane są na YouTube filmami reklamującymi cracki, hacki lub oszustwa w grach. Każdy, kto ulegnie pokusie darmowej rozrywki, po kliknięciu w odpowiedni link pobiera z pozoru bezpieczne archiwum, chronione hasłem. Wewnątrz znajduje się ukryty plik "start.bat", którego uruchomienie rozpoczyna kaskadę kolejnych infekcji. Złośliwy kod Arcane jest niezwykle sprytny, bo samodzielnie wyłącza ochronę systemu Windows Defender lub dodaje do niej wyjątki, dzięki czemu ma swobodę działania. Raz zagnieżdżony w systemie, Arcane zbiera niemal wszystkie istotne informacje. Kradnie loginy i hasła do popularnych aplikacji i serwisów – od VPN-ów, przez komunikatory takie jak Telegram, Signal czy Discord, po klientów poczty e-mail, na przykład Outlook.
Jakie dane kradnie Arcane?
To jednak tylko część tego, co potrafi Arcane. Malware profiluje dokładnie zainfekowany komputer, zapisując dane o sprzęcie, systemie operacyjnym i zainstalowanych aplikacjach. Dodatkowo nie oszczędza graczy, przechwytując dane z platform takich jak Steam, Epic Games czy Roblox. Nie gardzi również portfelami kryptowalut, z których skrupulatnie wybiera najważniejsze informacje.
ArcanaLoader – narzędzie cyberprzestępców
Cyberprzestępcy, którzy stoją za Arcane, stosują także nowe narzędzie zwane ArcanaLoader, które jest aktywnie reklamowane na Discordzie i YouTube. Twórcy treści na tych platformach są nawet rekrutowani, by promować narzędzie w zamian za wynagrodzenie, oczywiście nieświadomie biorąc udział w szerzeniu infekcji.
Skutki ataku Arcane
Skutki ataku Arcane są wyjątkowo poważne i mogą prowadzić do długofalowych konsekwencji finansowych oraz osobistych. Utrata danych uwierzytelniających do aplikacji i platform niesie ze sobą ryzyko kradzieży tożsamości, wymuszeń, a nawet kolejnych, bardziej zaawansowanych cyberataków. Według ekspertów Kaspersky'ego, jedynym skutecznym sposobem uniknięcia zagrożenia jest rezygnacja z pobierania nielegalnych cracków oraz wszelkich podejrzanych aplikacji i plików. Chociaż kusząca perspektywa bezpłatnych gier lub oszustw może być atrakcyjna, ryzyko związane z takimi działaniami okazuje się zbyt duże, by mogło być warte podjęcia. Jak zaznaczają specjaliści, Arcane nie powiedział jeszcze ostatniego słowa. Jego twórcy stale modyfikują metody ataków i możliwe, że wkrótce rozszerzą swoją działalność także na inne kraje.
