详细内容或原文请订阅后点击阅览
Arcane窃取器:我们想要您的所有数据
新的Arcane窃取器通过YouTube和Discord传播,从许多应用程序中收集数据,包括VPN和游戏客户端,网络实用程序,消息传递应用程序和浏览器。
来源:Securelist _恶意软件报告在2024年底,我们发现了一个通过YouTube视频宣传游戏作弊的新偷窃器。这种恶意软件的吸引力是它收集了多少。它从VPN和游戏客户端以及Ngrok,Playit,Cyberduck,Filezilla和Dyndns等各种网络实用程序中获取帐户信息。偷窃者被命名为Arcane,不要与著名的Arcane偷窃器V相混淆。Arcane背后的恶意演员接着发行了一个类似命名的Loader,据说它下载了作弊和裂缝,但实际上将恶意软件运送到了受害者的设备上。
分发
我们发现,在奥术出现之前,我们发现新偷窃者已经活跃。原始发行方法始于YouTube视频促进游戏作弊。这些视频经常伴随着指向档案的链接和密码来解锁。解开档案包装后,用户总是会发现一个启动。在根文件夹中的batch批处理文件和一个子文件夹中的unrar.exe实用程序。
存档根
“本地”子文件夹的内容
批处理文件的内容被混淆。它的唯一目的是通过PowerShell下载另一个受密码保护的档案,并用unrar.exe将其用嵌入批处理文件中的密码作为参数作为参数。
obfustated start.bat文件的内容
之后,start.bat将使用powershell从存档中启动可执行文件。这样做的过程中,它将每个驱动器根文件夹添加到智能屏幕过滤器异常中。然后,它通过系统控制台实用程序reg.exe重置启用WeableWebContentEvaluation和SmartScreEnabled注册表键,以完全禁用智能屏幕。
powerShell -command“ get-psdrive -psprovider filesystem | foreach-object {add-mppReference -exclusepath $_。。根}”
PowerShell 命令 “ get-psdrive -psprovider filesystem | foreach-object {add-mppReference -exclusionPath $_。。ROOT}” reg 添加 “ hkcu \\ software \\ microsoft \\ windows \\ currentversion \\ apphost” v “启用webcontentEvaluation” t reg_dword d 0 f