• New Page 1

    RSSFacebookInstagramTwitterYouTubeYouTubeYouTubeYouTubeYouTubeYouTubeYouTube  

    AGÊNCIA JF | Social - Repositório

Arcane: novo malware rouba senhas do Steam e outros serviços

por | |

Um sofisticado malware chamado Arcane foi identificado pela Kaspersky, com capacidade de roubar quantidades impressionantes de dados pessoais de suas vítimas. O malware visa especificamente credenciais de plataformas de jogos como Steam e Epic Games, aplicativos de mensagens como Discord e Telegram, além de informações de clientes VPN como OpenVPN e NordVPN.

  • Botnet BADBOX 2.0 infecta 1 milhão de aparelhos Android; 37% estão no Brasil
  • Hacker quebra criptografia do ransomware Akira usando GPUs GeForce RTX 4090

Descoberto no final de 2024, o Arcane difere de pragas semelhantes por sua engenhosidade e pela amplitude de dados que consegue capturar. A ferramenta tem recebido atualizações regulares, evoluindo suas técnicas de roubo de dados e evasão de detecção, o que preocupa especialistas em segurança digital.

Os alvos atuais do malware parecem ser principalmente usuários da Rússia, Belarus e Cazaquistão, mas especialistas alertam que é apenas questão de tempo até que o ataque se expanda para outras regiões e países, incluindo o Brasil.


Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.

Origem e descoberta do Arcane

A Kaspersky descobriu o Arcane durante investigações sobre uma campanha de distribuição de malware que já estava ativa antes do surgimento desta nova ameaça. Apesar do nome semelhante, a nova ameaça não tem relação com o já conhecido “Arcane Stealer V”, oferecido na dark web desde 2019.

Primeiro método de infecção do Arcane envolvia distribuição de arquivos infectados a partir de links compartilhados no YouTube (Imagem: Reprodução/Kaspersky)

Inicialmente, a campanha utilizava um trojan chamado Phemedrone, que os atacantes rebatizaram como “VGS”. Em novembro de 2024, esse malware foi substituído pelo Arcane, que leva esse nome devido à arte ASCII presente em seu código. Segundo os pesquisadores da Kaspersky, embora o Arcane tenha elementos emprestados de outros malwares do tipo “stealer” (ladrão de dados), suas características o tornam impossível de ser atribuído a qualquer família conhecida de software malicioso.

O código do Arcane recebe atualizações constantes, o que significa que suas capacidades e métodos de ataque estão em evolução permanente. A campanha parece ser operada por criminosos russos, conforme evidenciado pelas comunicações em servidores Discord e pelos alvos principais do ataque.

Métodos de distribuição do Arcane

A estratégia inicial de distribuição do Arcane começava com vídeos no YouTube promovendo cheats e trapaças para jogos populares. Esses vídeos incluíam links para arquivos compactados protegidos por senha. Ao descompactar o arquivo, os usuários encontravam um arquivo batch chamado “start.bat” na pasta raiz e o utilitário UnRAR.exe em uma das subpastas.

O conteúdo do arquivo batch era altamente ofuscado para dificultar análises. Sua única função era baixar outro arquivo compactado e protegido por senha via PowerShell, e descompactá-lo usando o UnRAR.exe com a senha embutida no próprio código batch.

Em seguida, o script utilizava o PowerShell para executar os arquivos maliciosos do segundo arquivo. Durante esse processo, adicionava cada pasta raiz de unidade às exceções do filtro SmartScreen e desativava completamente essas proteções através de modificações no Registro do Windows, comprometendo a segurança do sistema.

O arquivo baixado sempre continha dois executáveis: um minerador de criptomoedas e um stealer, inicialmente o VGS e posteriormente o Arcane.

Alguns meses após a descoberta do stealer Arcane, a Kaspersky identificou um novo padrão de distribuição. Em vez de promover diretamente cheats de jogos, os criminosos passaram a anunciar o “ArcanaLoader” em seus canais do YouTube e Discord.

Malware evoluiu e agora é distribuido em um loader que promete facilitar o download de cracks e cheats (Imagem: Reprodução/Kaspersky)

O ArcanaLoader é apresentado como uma ferramenta com interface gráfica para baixar e executar cracks, cheats e outros softwares similares para jogos populares. Na maioria das vezes, os links nos vídeos levavam a um arquivo executável que baixava um arquivo compactado contendo o ArcanaLoader.

O próprio loader incluía um link para o servidor Discord dos supostos desenvolvedores, que contava com canais para notícias, suporte e links para baixar novas versões. Simultaneamente, um dos canais do Discord publicava anúncios procurando influenciadores para promover o ArcanaLoader, oferecendo pagamento pela divulgação.

A ironia é que o executável principal do ArcanaLoader continha embutido o malware Arcane, transformando essa ferramenta supostamente útil em um vetor de infecção.

Objetivo do Arcane e dados roubados

O Arcane se destaca dos demais infostealers pela quantidade absurda de dados que coleta. Além de roubar credenciais, senhas, dados de cartões de crédito e cookies de navegadores baseados em Chromium e Gecko, o malware tem como alvo arquivos de configuração e informações de contas de dezenas de aplicativos.

O malware rouba dados de:

  • Clientes VPN: OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost e ExpressVPN
  • Clientes e utilitários de rede: ngrok, Playit, Cyberduck, FileZilla e DynDNS
  • Aplicativos de mensagens: ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber e Viber
  • Clientes de e-mail: Microsoft Outlook
  • Clientes e serviços de jogos: Riot Client, Epic Games, Steam, Ubisoft Connect (antigo Uplay), Roblox, Battle.net e vários clientes de Minecraft
  • Carteiras de criptomoedas: Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda e Coinomi

Além disso, o Arcane coleta informações detalhadas do sistema, como versão do sistema operacional, data de instalação, chave digital para ativação e verificação de licença, nome de usuário e do computador, localização, informações sobre CPU, memória, placa gráfica, unidades de armazenamento, dispositivos de rede e USB, e antimalware e navegadores instalados.

O malware também tira capturas de tela do dispositivo infectado, obtém listas de processos em execução e redes Wi-Fi salvas no sistema operacional, além de recuperar as senhas dessas redes.

A funcionalidade do Arcane para roubar dados de navegadores merece atenção especial. A maioria dos navegadores gera chaves únicas para criptografar dados sensíveis que armazenam, como logins, senhas e cookies. Além de utilizar a API de Proteção de Dados (DPAPI) para obter essas chaves, o que é típico de stealers. ele também contém um arquivo executável do utilitário Xaitax para quebrar chaves de navegadores. Para isso, o utilitário é colocado no disco e executado secretamente, e o stealer obtém todas as chaves necessárias a partir da saída do console.

No Discord oficial do ArcaneLoader, criminosos prometem pagar criadores de conteúdo para divulgá-lo (Imagem: Reprodução/Kaspersky)

O malware implementa ainda um método adicional para extrair cookies de navegadores baseados em Chromium através de uma porta de depuração. O trojan lança secretamente uma cópia do navegador com o argumento “remote-debugging-port”, conecta-se à porta de depuração, emite comandos para visitar vários sites (incluindo Gmail, Google Drive, Steam, YouTube e Roblox) e solicita seus cookies.

Como se proteger do Arcane e malwares similares

A principal dica para evitar malwares com o Arcane é evitar fazer o download de cheats, cracks e outros softwares não-oficiais, independentemente de quão tentadores possam parecer. Esses tipos de ferramentas são rotineiramente usados como iscas para distribuir malware e o risco de comprometer seu sistema e suas informações pessoais é alto demais para valer a pena.

Desconfie sempre de links em vídeos do YouTube que promovem soluções milagrosas para jogos ou software pago gratuito. Mesmo que o canal pareça legítimo ou tenha muitos inscritos, isso não garante que o conteúdo compartilhado foi criado pelo influenciador, muito menos é garantia de segurança. Como a Kaspersky revelou investigando o Arcane, cibercriminosos pagam youtubers para promover suas ferramentas maliciosas.

Mantenha seu sistema operacional e programas sempre atualizados, aplicando as atualizações de segurança assim que disponíveis. Essas atualizações frequentemente corrigem vulnerabilidades que poderiam ser exploradas por malwares como o Arcane. Da mesma forma, utilize uma solução de segurança confiável e mantenha-a atualizada para detectar e bloquear ameaças antes que consigam infectar seu sistema.

A ativação da autenticação de dois fatores em todas as suas contas importantes adiciona uma camada extra de proteção. Mesmo que suas credenciais sejam roubadas pelo Arcane, os criminosos terão dificuldade em acessar suas contas se você tomar essa medida preventiva. Isso é extremamente importante para contas de jogos como Steam, que podem conter informações de pagamento e itens de valor.

Por fim, verifique nas configurações do Windows se o SmartScreen está ativo e funcionando corretamente. Esta é uma das primeiras defesas que o Arcane tenta desativar, então mantê-la ativa pode ajudar a impedir a infecção inicial. Se você notar que essas configurações foram alteradas sem sua permissão, isso pode ser um sinal de que seu sistema já está comprometido.

Leia mais no Canaltech:

  • Novo ataque mira em Macs para roubar senha do iCloud; veja como se proteger
  • FBI emite alerta para ransomware Medusa que sequestra dados sensíveis
  • Erro humano causa 95% das falhas de segurança, revela estudo

Leia a matéria no Canaltech.

Adicionar aos favoritos o Link permanente.