Arcaneの新型インフォステア、ゲーム・チートでYouTubeやDiscordユーザーに感染

新たに発見された情報窃取マルウェア「Arcane」は、VPNアカウントの認証情報、ゲームクライアント、メッセージングアプリ、ウェブブラウザに保存された情報など、広範なユーザーデータを窃取している。

カスペルスキーによると、このマルウェアには、ダークウェブ上で何年も出回っている「Arcane Stealer V」と重複するリンクやコードはないという。

Arcaneマルウェアのキャンペーンは2024年11月に開始され、プライマリペイロードの置き換えを含むいくつかの進化のステップを経ています。

カスペルスキーの遠隔測定によると、Arcaneの感染のほとんどはロシア、ベラルーシ、カザフスタンで発生しています。

ロシアを拠点とする脅威の多くは、現地当局との衝突を避けるため、同国や他のCIS諸国のユーザーを標的にすることを通常避けているため、これは特に注目に値します。

Arcane Stealerの感染チェーン

Arcane Stealerを配布するキャンペーンは、ゲームのチートやクラックを宣伝するYouTube動画に依存しており、ユーザーを騙してリンクを踏ませ、パスワードで保護されたアーカイブをダウンロードさせます。

これらのファイルには、高度に難読化された「start.bat」スクリプトが含まれており、悪意のある実行可能ファイルを含む2つ目のパスワードで保護されたアーカイブを取得します。

ダウンロードされたファイルは、Windows Defender の SmartScreen フィルタに、すべてのドライブのルートフォルダに対する除外を追加するか、Windows レジストリの変更を通じて完全にオフにします。

以前は、Phemedroneトロイの木馬のリブランド版であるVGSと呼ばれる別のステラーマルウェアファミリーを使用していましたが、2024年11月にArcaneに切り替わりました。

カスペルスキーはまた、ArcanaLoaderと名付けられた、人気のあるゲームのクラックやチート用とされる偽のソフトウェアダウンローダーの使用など、配布方法における最近の変化も発見しました。

ArcanaLoaderはYouTubeやDiscordで大々的に宣伝されており、運営者はコンテンツクリエイターに有料でブログや動画で宣伝するよう呼びかけている。

大量のデータを盗む

カスペルスキーは、Arcaneの広範なデータ窃取は、多くの情報窃取者の中で際立っているとコメントしている。

まず、感染したシステムをプロファイリングし、OSのバージョン、CPUとGPUの詳細、インストールされているアンチウイルス、ブラウザなどのハードウェアとソフトウェアの詳細を盗み出す。

このマルウェアの現在のバージョンは、以下のアプリのアカウントデータ、設定、構成ファイルをターゲットにしている：

• VPNクライアント：OpenVPN、Mullvad、NordVPN、IPVanish、Surfshark、Proton、hidemy.name、PIA、CyberGhost、ExpressVPN
• ネットワークツール: ngrok, Playit, Cyberduck, FileZilla, DynDNS
• メッセンジャーICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber
• 電子メールクライアントアウトルック
• ゲームクライアントRiot Client、Epic、Steam、Ubisoft Connect（元Uplay）、Roblox、Battle.net、各種Minecraftクライアント
• 暗号通貨ウォレット：Zcash、Armory、Bytecoin、Jaxx、Exodus、Ethereum、Electrum、Atomic、Guarda、Coinomi
• ウェブブラウザ：Chromiumベースのブラウザに保存されたログイン、パスワード、クッキー（Gmail、Google Drive、Google Photos、Steam、YouTube、Twitter、Roblox）。

また、Arcaneはスクリーンショットをキャプチャし、コンピュータ上で何をしているかという機密情報を明らかにしたり、保存されたWi-Fiネットワークのパスワードを取得したりします。

Arcaneは現在のところ特定の標的を設定しているが、その運営者はさらに国やテーマを拡大する可能性がある。

情報窃取者に感染すると、金銭詐欺や恐喝、将来的な攻撃につながるなど、壊滅的な打撃を受ける。このような攻撃の後始末は、使用しているすべてのウェブサイトやアプリケーションのパスワードを変更し、それらが漏洩していないことを確認する必要があるため、膨大な時間を浪費することになる。

したがって、ユーザーは署名されていない海賊版ツールや不正ツールをダウンロードするリスクを常に念頭に置く必要があります。これらのツールによるリスクは高すぎるため、完全に避けるべきである。

.ia_ad { background-color：#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border：1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }：0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding：display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color：#line-height: 1.4; font-family：margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color：#border：1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding：10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding：15px; width: 100%; } .ia_button { width: 100%; } .

攻撃の93%を支えるMITRE ATT^&CK©テクニックのトップ10

1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%を支えるMITRE ATT&CKテクニックのトップ10とその防御方法をご覧ください。

レッドレポートを読む