За пять месяцев злоумышленники могли украсть данные более 1000 геймеров из России, Беларуси и Казахстана
Эксперты «Лаборатории Касперского» выявили новую схему распространения стилера Arcane, обнаруженного в 2024 году. Злоумышленники создали загрузчик ArcanaLoader, который якобы нужен для скачивания популярных читов для игр, например Minecraft, но на деле заражает устройства геймеров зловредом. Большинство атакованных пользователей, по данным телеметрии «Лаборатории Касперского», находится в России, Беларуси и Казахстане*.
Как работает новая схема. Неизвестная группа злоумышленников начинала распространение Arcane с размещения рекламы на YouTube. В описание к видео блогеров добавлялась ссылка на архив якобы с читами, который на самом деле содержал стилер. Однако в конце 2024 года атакующие усовершенствовали схему. Теперь они стали рекламировать не архив, а ArcanaLoader. Это загрузчик с графическим интерфейсом, нужный якобы для скачивания популярных среди геймеров читов, кряков и прочего подобного ПО. На деле после его запуска геймеры получают не обещанные программы, а заражённое стилером Arcane устройство.
При этом злоумышленники не остановились лишь на разработке загрузчика. Они создали Discord-сервер, где находятся каналы с новостями о читах, поддержкой и ссылками на скачивание новых версий ArcanaLoader. Попутно на одном из Discord-каналов команда «Лаборатории Касперского» обнаружила объявления о поиске блогеров для рекламы на You-Tube: предполагается, что они должны ставить ссылки на загрузчик в описание под своими роликами. Злоумышленникам нужны блогеры, у которых минимум 600 подписчиков, более 1500 просмотров на ролик и два видео со ссылками. За рекламу исполнителям обещают новую роль на сервере, доступ к некоторым чатам и оплату за высокий трафик.
Что известно об Arcane. Эксперты «Лаборатории Касперского» обнаружили этот стилер, который умеет собирать множество разных данных с заражённого устройства, в конце 2024 года. Хотя многое в нём было позаимствовано из других подобных зловредов, пока не удалось отнести его к какому-либо известному семейству.
За какими данными «охотится» Arcane. В настоящий момент зловред умеет красть логины, пароли и данные платёжных карт. С его помощью злоумышленники также получают доступ к файлам конфигурации, информации о настройках и аккаунтах из игровых, почтовых, сетевых и VPN-клиентов, криптокошельков и других приложений. Кроме того, Arcane собирает системную информацию, например имя пользователя и устройства, и делает скриншоты экрана. При этом возможности стилера регулярно меняются.
«Популярные компьютерные игры привлекают интерес не только геймеров, но и злоумышленников. В целом методы последних довольно стандартны. Однако мы видим, что в случае с Arcane атакующие усовершенствовали свои инструменты, начав распространять стилер не просто в архиве: теперь в качестве приманки они используют загрузчик с популярными читами. Таким образом злоумышленники стремились придать кампании больше мнимой легитимности», — комментирует Олег Купреев, эксперт по кибербезопасности в «Лаборатории Касперского».
Чтобы защититься от вредоносов, подобных Arcane, «Лаборатория Касперского» рекомендует:
- с подозрением относиться к читам, особенно для Minecraft и Roblox: любителей этих игр злоумышленники атакуют чаще других;
- внимательно изучать любую рекламу: практика показывает, что даже проверенные блогеры иногда могут распространять зловреды, не догадываясь об этом;
- не хранить логины, пароли и банковскую информацию в браузерах: это пусть и удобный, но очень рискованный способ. Лучше доверить конфиденциальные данные Kaspersky Password Manager;
- защитить устройство с помощью Kaspersky Premium.
* Данные на основе анонимизированной статистики решений «Лаборатории Касперского» за период с ноября 2024 года по март 2025 года.
