Arcane Stealer 악성코드, 게임 치트 유튜브 영상을 통해 유포…VPN 및 브라우저 자격증명 탈취

New Arcane Stealer Spreads via YouTube, Stealing VPN and Browser Login Credentials

 

• 유포 방식
  • 유튜브 영상 내 게임 치트 및 크랙 프로그램을 가장하여 악성코드 유포
  • 영상 설명란에 비밀번호로 보호된 압축 파일 링크 삽입
  • 압축 해제 후 start.bat 파일 실행 시 PowerShell을 통해 추가 페이로드 다운로드 및 실행
• 기능 및 침해 행위
  • PowerShell 명령어로 Windows SmartScreen 기능 비활성화
  • 추가로 다운로드된 페이로드는 암호화폐 마이너와 Arcane Stealer로 구성됨
  • Arcane Stealer는 다음의 데이터를 수집함
    • VPN 클라이언트 정보: OpenVPN, NordVPN, ExpressVPN 등
    • 네트워크 유틸리티 정보: ngrok, Playit, FileZilla, DynDNS 등
    • 브라우저 정보: Chromium 및 Gecko 기반 브라우저의 로그인 정보, 쿠키, 히스토리 등
  • Data Protection API(DPAPI)를 통해 브라우저 암호화 키 탈취
  • Xaitax 유틸리티 실행을 통해 브라우저 키 해독
  • 원격 디버깅 포트를 이용해 브라우저 구동 후 Gmail, Steam 등에서 쿠키 추출
• ArcanaLoader로 전환된 유포 전략
  • 최근에는 ArcanaLoader라는 로더 프로그램으로 유포 전략 진화
  • 유튜브 채널 및 디스코드 서버에서 치트 프로그램처럼 위장하여 Arcane Stealer를 전달
  • 사용자는 디스코드 서버 초대 링크를 통해 위장된 "업데이트"와 "기능 지원"을 받는 구조
• 주요 피해 대상
  • 러시아어 사용자 대상 캠페인으로 확인됨
  • 감염 지역은 러시아, 벨라루스, 카자흐스탄에 집중
  • 유튜브, 디스코드 등 청소년 및 게임 커뮤니티 기반 플랫폼 악용
• 보안 권고
  • 유튜브나 커뮤니티 기반 치트/크랙 프로그램 다운로드 자제
  • 정품 소프트웨어 사용 및 미확인 링크 클릭 금지
  • 브라우저, VPN, 파일 전송 도구 등 자격증명 저장 환경의 보호 강화
  • 안티바이러스 및 EDR 솔루션을 통한 비정상 프로세스 탐지 정책 수립