ویدیوهای یوتیوب که تقلبهای بازی را تبلیغ میکنند برای ارائه بدافزار سارق اطلاعات مستند نشده به نام Arcane استفاده میشود که کاربران روسیزبان را هدف قرار میدهد و دادههای گسترده کاربر از جمله اعتبار حساب VPN، کلاینتهای بازی، برنامههای پیامرسان و اطلاعات ذخیره شده در مرورگرهای وب را سرقت می کند.
کسپرسکی در تحلیلی گفت: آنچه که در مورد این بدافزار جالب توجه است، میزان جمعآوری آن است. این اطلاعات حساب را از VPN و کلاینتهای بازی و انواع ابزارهای شبکه مانند ngrok، Playit، Cyberduck، FileZilla و DynDNS میگیرد. زنجیرههای حمله شامل به اشتراکگذاری پیوندهایی به یک آرشیو محافظت شده با رمز عبور در ویدیوهای یوتیوب است که پس از باز شدن، یک فایل دستهای start.bat را باز میکند که مسئول بازیابی یک فایل بایگانی دیگر از طریق پاورشل است. سپس فایل دستهای از پاورشل برای راهاندازی دو فایل اجرایی تعبیه شده در بایگانی دانلود شده استفاده میکند، در حالی که محافظتهای Windows SmartScreen و هر پوشه روت درایو به استثناهای فیلتر SmartScreen را غیرفعال میکند. این بدافزار هیچ پیوند یا کدی ندارد که با Arcane Stealer V معروف در دارکوب، همپوشانی داشته باشد. بیشتر آلودگیهای مخفی در روسیه، بلاروس و قزاقستان هستند.
https://www.bleepingcomputer.com/news/security/new-arcane-infostealer-infects-youtube-discord-users-via-game-cheats
https://thehackernews.com/2025/03/youtube-game-cheats-spread-arcane.html
https://securelist.com/arcane-stealer/115919
