YouTube Game Cheats Spread Arcane Stealer Malware to Russian-Speaking Users
- 개요
- YouTube 게임 치트 공유 영상을 통해 Arcane Stealer 악성코드가 유포되고 있음
- 주요 대상은 러시아, 벨라루스, 카자흐스탄의 러시아어권 사용자
- Arcane은 VPN 정보, 게임 계정, 네트워크 유틸리티 설정 등 광범위한 정보 수집 기능을 탑재한 정보탈취형 악성코드
- 공격 체인
- YouTube 영상 설명란에 비밀번호로 보호된 압축파일 링크 공유
- 압축파일 실행 시
start.bat파일이 PowerShell로 2차 압축파일 다운로드 및 실행 - PowerShell 명령으로 Windows SmartScreen 비활성화 및 루트 드라이브 예외 등록
- 압축 해제 후 2개의 실행파일 실행
– 암호화폐 채굴기(miner)
– 정보 탈취기: Phemedrone Stealer 변종 → 현재는 Arcane으로 교체
- 수집 대상 정보
- 브라우저 정보: 로그인 정보, 쿠키, 암호, 크레딧 카드, DPAPI를 통한 암호화 키 탈취
- VPN 클라이언트: OpenVPN, NordVPN, Mullvad, Proton, Surfshark, IPVanish 등
- 네트워크 툴: ngrok, Playit, Cyberduck, FileZilla, DynDNS 등
- 메신저: Discord, Telegram, Signal, Skype, Jabber, Tox, Viber 등
- 이메일 클라이언트: Outlook
- 게임 플랫폼: Steam, Epic, Riot, Battle.net, Ubisoft, Roblox, Minecraft 클라이언트
- 암호화폐 지갑: Electrum, Exodus, Atomic, Guarda, Jaxx, Ethereum, Zcash, Bytecoin 등
- 주요 기능
- 시스템 정보 수집 및 화면 캡처
- Wi-Fi 저장 네트워크와 비밀번호 수집
- 실행 중인 프로세스 나열 및 브라우저 암호 키 크래킹 도구(Xaitax) 실행
– 콘솔 출력을 통해 키를 수집 - Chromium 기반 브라우저 디버깅 포트를 활용한 쿠키 추출 방식도 병행 적용
- 확장 위협 요소: ArcanaLoader
- 공격자들은 ArcanaLoader라는 새로운 로더를 개발
– 겉보기엔 게임 치트를 다운로드하는 프로그램처럼 위장
– 실질적으로는 Arcane Stealer를 로드 및 실행하는 기능 수행
- 공격자들은 ArcanaLoader라는 새로운 로더를 개발
- 보안 권고
- YouTube 링크 기반 외부 파일 다운로드 자제
- 실행 스크립트(.bat, .ps1) 실행 차단 정책 설정
- 브라우저 저장 암호 사용 금지, 패스워드 관리자 사용 권장
- EDR, Anti-Stealer 룰 업데이트 및 브라우저 디버깅 포트 사용 모니터링
- VPN, 게임 클라이언트, 메시징 앱의 계정 보호 이중 인증 적용
- 결론
- 해당 캠페인은 사이버 범죄자가 얼마나 빠르게 공격 수단과 도구를 진화시키는지 보여줌
- Arcane은 다양한 앱과 설정에서 사용자의 민감 정보를 광범위하게 수집
- 특히 유튜브, 게임 커뮤니티 등 비기술적 사용자 유입 채널을 통한 공격 전략이 강화되고 있음
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| Babuk2 랜섬웨어 그룹의 허위 갈취 전술 및 대응 방안 (0) | 2025.05.04 |
|---|---|
| UAT-5918 그룹의 대만 중요 인프라 대상 침해 캠페인 분석 (0) | 2025.05.04 |
| 중국 APT 그룹 Salt Typhoon, Exchange 취약점 악용한 글로벌 사이버 스파이 활동 분석 (0) | 2025.05.03 |
| 우크라이나 방산업체 대상 Dark Crystal RAT 사이버 첩보 캠페인 경고 (0) | 2025.05.03 |
| AI 에이전트 기반 계정 탈취 위협과 대응 전략 (0) | 2025.05.03 |