Компанија Касперски наишла је на нови тип малвера који се шири путем платформе Јутјуб.
Новооткривени малвер за крађу информација под називом Аркан Стилер краде мноштво корисничких података, укључујући податке за пријављивање за ВПН налоге, клијенте игара, апликација за слање порука и информације из веб прегледача.
Малвер нема везе нити код који се преклапа са Аркан Стилер В, малвером који већ годинама циркулише тамним вебом.
Кампања која дистрибуира Аркан Стилер одвија се на Јутјубу (али и Дискорду), а малвер се шири путем видео снимака на платформи који промовишу варалице за игре и крекове. Корисници се подстичу да кликну на линк за преузимање архиве заштићене лозинком а то се на крају завршава инфекцијом уређаја малвером Аркан Стилер.
"Оно што је интригантно у вези са овим малвером је колико података прикупља", наводи се у извјештају компаније Касперски чији су истраживачи открили Аркан Стилер.
Напад почиње на Јутјубу линком за архиву заштићену лозинком која, када се отвори, распакује "старт.бат" фајл који преузима другу архиву заштићену лозинком која садржи два извршна фајла. Преузети фајлови онемогућавају заштиту СмартСкрина Виндовс Дефендера.
Од два фајла, један је за рударење криптовалута, а други је крадљивац података ВГС, који је ребрендирана верзија тројанца Фемедрон. Истраживачи кажу да су примијетили да је од новембра 2024. ВГС замијењен са Аркан, преноси "Информација.рс".
Угрожене и бројне друге апликације
Поред крађе података за пријављивање, лозинки, података о кредитним картицама и колачића из различитих претраживача базираних на Хромиуму и Гекоу, Аркан може да прикупи свеобухватне системске податке, као и конфигурационе фајлове, подешавања и информације о налогу из бројних апликација.
Само неке од апликација одакле може да прикупи податке су OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost i ExpressVPN; zatim, ngrok, Playit, Cyberduck, FileZilla i DynDNS; ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber i Viber; Microsoft Outlook; Riot Client, Epic, Steam, Ubisoft Connect, Roblox, Battle.net i Minecraft; i kripto novčanici Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda и Coinomi.
Аркан такође прави снимке екрана који могу открити осјетљиве информације о томе шта радите на рачунару и преузима сачуване лозинке за Вај-Фај мрежу.
Неидентификовани нападачи који стоје иза операције недавно су промијенили и метод дистрибуције и сада користе лажни софтвер за преузимање варалица за игре и крекова под називом АрканаЛоадер. Али умјесто обећаног, овај програм преузима малвер Аркан.
За сада су Русија, Бјелорусија и Казахстан примарне мете кампање. Ово је необично, пошто већина сајбер криминалаца из Русије обично избјегава кориснике у земљи и другим земљама ЗНД да би избјегли проблеме са локалним властима. Међутим, иако Аркан тренутно циркулише у наведеним земљама, његови оператери би могли то да промијене у сваком тренутку, и да нападе прошире на друге земље.
"Аркан је фасцинантан због свих различитих података које прикупља и трикова које користи да извуче информације које нападачи желе", наводи се у извештају компаније Касперски.
Инфекција малвером који краде податке као што је Аркан може имати разорне посљедице - од финансијских превара, преко изнуде до нових напада.
Чишћење уређаја након оваквих инфекција захтијева вријеме јер морате и да промијените лозинке на сваком веб сајту и у апликацији коју користите и да провјерите да ли су лозинке компромитоване. Лакше је уздржати се од преузимања пиратских алата и алата за варање. Ризик од ових програма је превелики и треба их у потпуности избјегавати.
