神秘窃取者：我们想要你所有的数据

2024年底，我们发现了一种新型窃取程序，它通过在YouTube视频中推广游戏作弊工具的方式进行传播。这种恶意软件的有趣之处在于它的信息收集量之大。它会获取虚拟专用网络（VPN）和游戏客户端的账户信息，以及诸如ngrok、Playit、Cyberduck、FileZilla和DynDNS等各类网络实用工具的信息。这种窃取程序被命名为“Arcane” ，不要将其与知名的“Arcane Stealer V”混淆。“Arcane”背后的恶意行为者随后发布了一款名字相近的加载程序，据宣传该加载程序用于下载作弊工具和破解程序，但实际上会将恶意软件传送到受害者的设备上。

在我们发现这款新型窃取程序的活动中，早在“Arcane”出现之前，该活动就已经在进行了。最初的传播方式始于在YouTube上发布推广游戏作弊工具的视频。这些视频通常会附带一个指向压缩文件的链接以及用于解压该文件的密码。用户解压压缩文件后，总会在根文件夹中发现一个名为start.bat的批处理文件，并且在其中一个子文件夹里会有UnRAR.exe解压工具。

存档根

“natives” 子文件夹的内容

这个批处理文件的内容经过了混淆处理。它唯一的作用是通过PowerShell下载另一个受密码保护的压缩文件，然后使用UnRAR.exe解压该文件，解压时会将嵌入在批处理文件中的密码作为参数。

经过混淆处理的start.bat批处理文件的内容

之后，start.bat将使用 PowerShell 从存档中启动可执行文件。在此过程中，它将每个驱动器根文件夹添加到 SmartScreen 筛选器例外中。然后，它通过系统控制台实用程序重置 EnableWebContentEvaluation 和 SmartScreenEnabled 注册表项，reg.exe以完全禁用 SmartScreen。

由start.bat运行的关键命令

该压缩文件里总会包含两个可执行程序：一个挖矿程序和一个窃取程序。

已下载的压缩文件的内容

这款窃取程序是“Phemedrone”木马的一个变种，攻击者将其重新命名为“VGS”。他们在相关标识中使用了这个名称，并且在生成窃取程序活动报告时，该名称会连同报告创建的日期和时间一起被写入到文件开头。

Phemedrone 和 VGS 标志

原始的分发方案

2024 年底，我们发现了一种新的 “Arcane” 窃取程序，它是同一活动的一部分。值得注意的是，之前曾遇到过一个类似名称的窃取程序：2019 年，一个名为 “Arcane Stealer V” 的木马在暗网上出现，但它与我们的发现几乎没有关联。这种新的窃取程序得名于代码中的 ASCII 艺术。

Arcane 标志

Arcane在 11 月取代了 VGS。尽管它的很多部分是从其他窃取程序借鉴而来，但我们无法将其归为任何已知的恶意软件家族。

Arcane会定期更新，所以其代码和功能会因版本不同而有所变化。我们将描述在各种修改版本和构建中常见的功能。除了从各种基于 Chromium 和 Gecko 的浏览器中窃取登录信息、密码、信用卡数据、令牌和其他凭证外，Arcane还会从以下应用程序中窃取配置文件、设置和账户信息：

・ 虚拟专用网络（VPN）客户端：OpenVPN、Mullvad、NordVPN、IPVanish、Surfshark、Proton、hidemy.name、Private Internet Access（PIA）、赛博幽灵（CyberGhost）、ExpressVPN

・ 网络客户端和实用程序：ngrok、Playit、Cyberduck、FileZilla、动态域名服务（DynDNS）
・ 即时通讯应用程序：ICQ、Tox、Skype、Pidgin、Signal、Element、Discord、Telegram、Jabber、Viber
・ 电子邮件客户端：Outlook
・ 游戏客户端和服务：拳头游戏客户端（Riot Client）、Epic 游戏平台、Steam、育碧连接（前身为 Uplay）、罗布乐思（Roblox）、暴雪战网（Battle.net）、各种《我的世界》（Minecraft）客户端
・ 加密钱包：Zcash、Armory、字节币（Bytecoin）、Jaxx、Exodus、以太坊（Ethereum）、Electrum、Atomic、Guarda、Coinomi

此外，这款窃取程序会收集各种系统信息，例如操作系统版本和安装日期、用于系统激活和许可证验证的数字密钥、用户名和计算机名、位置信息、中央处理器（CPU）、内存、显卡、驱动器、网络及USB设备的相关信息，以及已安装的反恶意软件和浏览器的信息。“Arcane”还会对受感染设备进行截图，获取正在运行的进程列表以及操作系统中保存的Wi-Fi网络列表，并获取这些网络的密码。

 “Arcane”从浏览器中窃取数据的功能值得特别关注。大多数浏览器会生成独特的密钥来加密它们存储的敏感数据，如登录信息、密码、Cookies等。“Arcane”使用数据保护应用程序编程接口（DPAPI）来获取这些密钥，这是窃取程序的常见做法。但“Arcane”还包含一个名为Xaitax的实用工具的可执行文件，它会利用该工具来破解浏览器密钥。为此，这个实用工具会被释放到磁盘上并在隐蔽状态下启动，而这款窃取程序则会从其控制台输出中获取所需的所有密钥。

 这款窃取程序还采用了一种额外的方法，通过调试端口从基于Chromium内核的浏览器中提取Cookies。该木马会秘密启动一个带有“远程调试端口”参数的浏览器副本，然后连接到调试端口，发出访问多个网站的命令，并请求获取这些网站的Cookies。以下是它会访问的资源列表。

在发现这款窃取程序后的几个月内，我们注意到了一种新的传播模式。威胁行为者不再推广作弊工具，而是转而在他们的YouTube频道上宣传“ArcanaLoader”。这是一款带有图形用户界面的加载器，用于下载和运行最热门的破解程序、作弊工具以及其他类似软件。视频中的链接大多指向一个可执行文件，该文件会下载一个包含“ArcanaLoader”的压缩文件。

Arcana加载器

这款加载器本身包含了一个指向开发者的 Discord 服务器的链接，该服务器设有用于发布消息动态、提供技术支持的频道，还有可用来下载新版本的链接。

Discord 服务器邀请

与此同时，一个 Discord 频道发布了一则广告，寻找博主推广 ArcanaLoader。

寻找博主传播装载机

遗憾的是，ArcanaLoader 的主可执行文件包含上述的Arcane窃取程序。

在该Discord服务器上的所有对话均使用俄语，新闻频道和YouTube视频中也使用的是俄语。显然，攻击者的目标受众是说俄语的人群。我们的监测数据证实了这一推测：大多数受攻击的用户来自俄罗斯、白俄罗斯和哈萨克斯坦。

多年来，攻击者一直利用作弊工具和破解程序作为一种常用手段来传播各类恶意软件，而且他们很可能还会继续这样做。这次特别的攻击活动有意思的地方在于，它展现了网络犯罪分子是多么灵活多变，他们总是在不断更新自己的工具以及传播工具的方法。此外，“Arcane”窃取程序本身也很值得关注，因为它会收集各种各样的数据，并且使用一些手段来提取攻击者想要的信息。为了免受这些威胁，我们建议大家对作弊工具和破解程序这类可疑软件的广告保持警惕，避免点击来自陌生博主的链接，并且使用功能强大的安全软件来检测并清除快速演变的恶意软件。