I video di YouTube che promuovono cheat per giochi stanno veicolando un malware noto come Arcane Stealer, principalmente rivolto a utenti di lingua russa. Questo malware è caratterizzato dalla sua capacità di raccogliere un'ampia gamma di informazioni, inclusi dati da client VPN e gaming, e varie utilità di rete come ngrok, Playit, Cyberduck, FileZilla e DynDNS. L'attacco si sviluppa attraverso la condivisione di link a un archivio protetto da password nei video di YouTube. Una volta aperto, l'archivio esegue un file batch start.bat che, tramite PowerShell, scarica e avvia due eseguibili incorporati, disabilitando le protezioni di Windows SmartScreen.

Di questi due eseguibili, uno è un miner di criptovalute e l'altro è un malware stealer chiamato VGS, poi sostituito da Arcane da novembre 2024. Arcane si distingue per il furto di credenziali di login, password, dati delle carte di credito e cookie dai browser basati su Chromium e Gecko. È inoltre progettato per raccogliere dati di sistema completi e informazioni di configurazione da diverse applicazioni, inclusi client VPN, utility di rete, app di messaggistica, client email e servizi di gaming.

Arcane è in grado di scattare screenshot del dispositivo infetto, enumerare i processi in esecuzione e elencare le reti Wi-Fi salvate con le relative password. Utilizza l'API di protezione dei dati (DPAPI) per ottenere chiavi uniche dei browser necessarie per decrittare i dati sensibili. Inoltre, Arcane include uno strumento eseguibile di Xaitax per rompere le chiavi del browser, eseguendolo in modo nascosto per ottenere le chiavi necessarie dall'output della console.

Il malware implementa anche un metodo separato per estrarre i cookie dai browser basati su Chromium avviando una copia del browser attraverso una porta di debug. Gli attori della minaccia hanno ampliato la loro offerta includendo un loader chiamato ArcanaLoader, apparentemente progettato per scaricare cheat di gioco, ma che distribuisce invece il malware stealer. I principali target della campagna sono Russia, Bielorussia e Kazakistan.

Questa campagna dimostra la flessibilità dei criminali informatici, che aggiornano continuamente i loro strumenti e metodi di distribuzione. Arcane Stealer è particolarmente interessante per la varietà di dati raccolti e le tecniche utilizzate per estrarli, riflettendo l'evoluzione delle minacce informatiche e l'ingegnosità degli aggressori.