Ein kürzlich entdeckter Informationsdiebstahl-Trojaner mit dem Namen „Arcane“ sorgt derzeit für Aufsehen in der Cybersicherheitsbranche. Die Schadsoftware ist darauf ausgelegt, eine Vielzahl persönlicher Daten zu entwenden – darunter VPN-Zugangsdaten, Anmeldeinformationen für Gaming- und Messaging-Plattformen sowie gespeicherte Daten aus Webbrowsern. Experten von Kaspersky haben die Malware untersucht und festgestellt, dass sie keine Verbindung zum bereits bekannten „Arcane Stealer V“ aufweist, der seit Jahren im Darknet kursiert.
Verbreitung und Ursprung der Bedrohung
Die Kampagne zur Verbreitung von Arcane begann im November 2024 und hat seither mehrere Entwicklungsphasen durchlaufen. Eine bemerkenswerte Eigenschaft der Malware ist, dass ihre Betreiber ausschließlich auf Russisch kommunizieren. Die meisten Infektionen wurden in Russland, Belarus und Kasachstan registriert – ein Umstand, der ungewöhnlich ist, da russische Cyberkriminelle normalerweise Angriffe auf Länder der Gemeinschaft Unabhängiger Staaten (GUS) vermeiden, um keine Konflikte mit den dortigen Behörden zu riskieren.
Infektionsweg: YouTube und gefälschte Software-Downloads
Die Arcane-Malware verbreitet sich vorrangig über YouTube-Videos, die vermeintliche Cheats und Cracks für Videospiele bewerben. Nutzer werden über Links zu passwortgeschützten Archiven geleitet, die schädliche Skripte enthalten. Diese Skripte sind stark verschleiert und laden weitere infizierte Dateien nach. Die neuesten Varianten der Malware setzen zudem auf einen gefälschten Software-Downloader mit dem Namen „ArcanaLoader“, der als vermeintliches Tool zum Herunterladen von beliebten Spielmodifikationen und Cheats beworben wird.
Besonders perfide ist die aggressive Verbreitungsstrategie der Angreifer: Sie bieten Influencern auf YouTube und Discord an, gegen Bezahlung in ihren Videos oder Blogs für ArcanaLoader zu werben. Dadurch erreicht die Malware ein großes Publikum und infiziert zunehmend mehr Nutzer.
Wie Arcane Daten stiehlt
Arcane zeichnet sich durch seine breit gefächerte Datensammlung aus. Sobald die Malware ein System infiziert, erstellt sie ein detailliertes Profil der Hardware- und Software-Konfiguration. Dabei werden unter anderem das Betriebssystem, Prozessor- und Grafikkarteninformationen sowie installierte Antivirenprogramme erfasst. Anschließend greift Arcane auf gespeicherte Zugangsdaten und Konfigurationsdateien folgender Programme zu:
- VPN-Clients: OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, ProtonVPN, CyberGhost, ExpressVPN und weitere.
- Netzwerktools: ngrok, Playit, Cyberduck, FileZilla, DynDNS.
- Messenger-Dienste: ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber.
- E-Mail-Clients: Outlook.
- Gaming-Clients: Riot Games, Epic Games, Steam, Ubisoft Connect, Roblox, Battle.net und verschiedene Minecraft-Launcher.
- Kryptowallets: Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi.
- Webbrowser: Gespeicherte Passwörter, Cookies und Anmeldedaten für Gmail, Google Drive, Google Photos, Steam, YouTube, Twitter, Roblox und andere Dienste.
Darüber hinaus kann die Malware Screenshots erstellen, um sensible Informationen abzufangen. Auch gespeicherte WLAN-Passwörter werden ausgelesen, was es Angreifern ermöglichen könnte, sich Zugang zu Netzwerken der Opfer zu verschaffen.
Gefahren und Schutzmaßnahmen
Die Infektion mit einem Infostealer wie Arcane kann schwerwiegende Folgen haben. Gestohlene Zugangsdaten können für finanzielle Betrugsfälle, Identitätsdiebstahl oder Erpressung genutzt werden. Betroffene müssen nach einer Infektion sämtliche Passwörter ändern und ihre Konten auf unbefugte Zugriffe überprüfen – ein äußerst zeitaufwendiger Prozess.
Experten raten dringend dazu, keine unsignierten oder aus fragwürdigen Quellen stammenden Programme herunterzuladen, insbesondere keine gecrackten Spiele oder Cheat-Software. Zudem sollten Nutzer stets aktuelle Sicherheitsupdates installieren und eine zuverlässige Antivirensoftware verwenden, um sich gegen Bedrohungen wie Arcane zu schützen.
Es bleibt abzuwarten, ob die Betreiber der Malware ihre Aktivitäten auf weitere Länder ausweiten. Sicher ist jedoch, dass Infostealer wie Arcane eine anhaltende Bedrohung darstellen und Vorsicht beim Download von Software oberste Priorität haben sollte.
