Video YouTube promosikan cheat game dan menyebarkan stealer digunakan untuk mengirimkan malware pencuri yang sebelumnya tidak terdokumentasi bernama Arcane.
Yang menarik dari malware ini adalah besarnya kemampuan untuk mengumpulkan data-data yang dicari. Malware ini mengambil informasi akun dari klien VPN dan game, dan semua jenis utilitas jaringan seperti:
- Ngrok.
- Playit.
- Cyberduck.
- FileZilla.
- DynDNS.
|
Baca juga: Hati-hati Pencurian Kanal YouTube |
Serangan Melalui YouTube
Rantai serangan melibatkan berbagi tautan ke arsip yang dilindungi kata sandi pada video YouTube, yang saat dibuka membongkar file batch start.bat yang bertanggung jawab untuk mengambil file arsip lain melalui PowerShell.
File batch kemudian menggunakan PowerShell untuk meluncurkan dua file yang dapat dieksekusi yang tertanam dalam arsip yang baru diunduh, sementara juga menonaktifkan perlindungan Windows SmartScreen dan setiap folder root drive ke pengecualian filter SmartScreen.
Dari dua biner tersebut, satu adalah penambang mata uang kripto dan yang lainnya adalah pencuri yang dijuluki VGS yang merupakan varian dari malware Phemedrone Stealer. Hingga November 2024, serangan tersebut ditemukan mengganti VGS dengan Arcane.
Meskipun sebagian besar dipinjam dari pencuri lain, peneliti tidak dapat mengaitkannya dengan keluarga mana pun yang diketahui.
Selain mencuri kredensial login, kata sandi, data kartu kredit, dan cookie dari berbagai browser berbasis Chromium dan Gecko, Arcane dilengkapi untuk mengumpulkan data sistem yang komprehensif serta file konfigurasi, pengaturan, dan informasi akun dari beberapa aplikasi seperti berikut –
- Klien VPN: OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, dan ExpressVPN.
- Klien dan utilitas jaringan: ngrok, Playit, Cyberduck, FileZilla, dan DynDNS.
- Aplikasi perpesanan: ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, dan Viber.
- Klien email: Microsoft Outlook.
- Klien dan layanan game: Riot Client, Epic, Steam, Ubisoft Connect (ex-Uplay), Roblox, Battle.net, dan berbagai klien Minecraft.
- Dompet kripto: Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, dan Coinomi.
|
Baca juga: Aplikasi Peniru YouTube Penyebar RAT |
Kemampuan Stealer Arcane
Selain itu, Arcane dirancang untuk mengambil tangkapan layar perangkat yang terinfeksi, menghitung proses yang sedang berjalan, dan mencantumkan jaringan Wi-Fi yang tersimpan beserta kata sandinya.
Sebagian besar peramban menghasilkan kunci unik untuk mengenkripsi data sensitif yang mereka simpan, seperti login, kata sandi, kuki, dll. Arcane menggunakan Data Protection API (DPAPI) untuk mendapatkan kunci ini, yang merupakan ciri khas stealer.
Namun, Arcane juga berisi file yang dapat dieksekusi dari utilitas Xaitax, yang digunakannya untuk memecahkan kunci peramban. Untuk melakukan ini, utilitas tersebut dimasukkan ke dalam disk dan diluncurkan secara diam-diam, dan pencuri memperoleh semua kunci yang dibutuhkannya dari keluaran konsolnya.
Menambah kemampuannya, malware pencuri menerapkan metode terpisah untuk mengekstraksi kuki dari peramban berbasis Chromium dengan meluncurkan salinan peramban melalui port debug.
Aktor ancaman tak dikenal di balik operasi tersebut telah memperluas penawaran mereka dengan menyertakan loader bernama ArcanaLoader yang seolah-olah dimaksudkan untuk mengunduh cheat game, tetapi malah mengirimkan malware pencuri. Rusia, Belarus, dan Kazakhstan muncul sebagai target utama kampanye tersebut.
Yang menarik dari kampanye khusus ini adalah bahwa kampanye ini menggambarkan betapa fleksibelnya penjahat dunia maya, selalu memperbarui alat dan metode pendistribusiannya.
Selain itu, stealer Arcane sendiri menarik karena semua data berbeda yang dikumpulkannya dan trik yang digunakannya untuk mengekstrak informasi yang diinginkan penyerang.
Demikian pembahasan kali ini mengenai Video YouTube promosikan cheat game dan menyebarkan stealer, semoga informasi tersebut dapat bermanfaat.
Sumber berita: