Kompanija Kasperski naišla je na novi tip malvera koji se širi putem platforme Jutjub.
Novootkriveni malver za krađu informacija pod nazivom Arkan Stiler krade mnoštvo korisničkih podataka, uključujući podatke za prijavljivanje za VPN naloge, klijente igara, aplikacija za slanje poruka i informacije iz veb pregledača.
Malver nema veze niti kod koji se preklapa sa Arkan Stiler V, malverom koji već godinama cirkuliše tamnim vebom.
Kampanja koja distribuira Arkan Stiler odvija se na Jutjubu (ali i Diskordu), a malver se širi putem video snimaka na platformi koji promovišu varalice za igre i krekove. Korisnici se podstiču da kliknu na link za preuzimanje arhive zaštićene lozinkom a to se na kraju završava infekcijom uređaja malverom Arkan Stiler.
"Ono što je intrigantno u vezi sa ovim malverom je koliko podataka prikuplja", navodi se u izvještaju kompanije Kasperski čiji su istraživači otkrili Arkan Stiler.
Napad počinje na Jutjubu linkom za arhivu zaštićenu lozinkom koja, kada se otvori, raspakuje "start.bat" fajl koji preuzima drugu arhivu zaštićenu lozinkom koja sadrži dva izvršna fajla. Preuzeti fajlovi onemogućavaju zaštitu SmartSkrina Vindovs Defendera.
Od dva fajla, jedan je za rudarenje kriptovaluta, a drugi je kradljivac podataka VGS, koji je rebrendirana verzija trojanca Femedron. Istraživači kažu da su primijetili da je od novembra 2024. VGS zamijenjen sa Arkan, prenosi "Informacija.rs".
Ugrožene i brojne druge aplikacije
Pored krađe podataka za prijavljivanje, lozinki, podataka o kreditnim karticama i kolačića iz različitih pretraživača baziranih na Hromiumu i Gekou, Arkan može da prikupi sveobuhvatne sistemske podatke, kao i konfiguracione fajlove, podešavanja i informacije o nalogu iz brojnih aplikacija.
Samo neke od aplikacija odakle može da prikupi podatke su OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost i ExpressVPN; zatim, ngrok, Playit, Cyberduck, FileZilla i DynDNS; ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber i Viber; Microsoft Outlook; Riot Client, Epic, Steam, Ubisoft Connect, Roblox, Battle.net i Minecraft; i kripto novčanici Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda i Coinomi.
Arkan takođe pravi snimke ekrana koji mogu otkriti osjetljive informacije o tome šta radite na računaru i preuzima sačuvane lozinke za Vaj-Faj mrežu.
Neidentifikovani napadači koji stoje iza operacije nedavno su promijenili i metod distribucije i sada koriste lažni softver za preuzimanje varalica za igre i krekova pod nazivom ArkanaLoader. Ali umjesto obećanog, ovaj program preuzima malver Arkan.
Za sada su Rusija, Bjelorusija i Kazahstan primarne mete kampanje. Ovo je neobično, pošto većina sajber kriminalaca iz Rusije obično izbjegava korisnike u zemlji i drugim zemljama ZND da bi izbjegli probleme sa lokalnim vlastima. Međutim, iako Arkan trenutno cirkuliše u navedenim zemljama, njegovi operateri bi mogli to da promijene u svakom trenutku, i da napade prošire na druge zemlje.
"Arkan je fascinantan zbog svih različitih podataka koje prikuplja i trikova koje koristi da izvuče informacije koje napadači žele", navodi se u izveštaju kompanije Kasperski.
Infekcija malverom koji krade podatke kao što je Arkan može imati razorne posljedice - od finansijskih prevara, preko iznude do novih napada.
Čišćenje uređaja nakon ovakvih infekcija zahtijeva vrijeme jer morate i da promijenite lozinke na svakom veb sajtu i u aplikaciji koju koristite i da provjerite da li su lozinke kompromitovane. Lakše je uzdržati se od preuzimanja piratskih alata i alata za varanje. Rizik od ovih programa je preveliki i treba ih u potpunosti izbjegavati.
