Злоумышленники распространяют на YouTube вредоносную программу Arcane, маскируя её под инструмент для обхода блокировок под названием FixIt. С конца февраля файл скачали уже более ста пользователей из России.
Продвижение происходит через видеоролики: обнаружено как минимум 20 видео с рекламой FixIt, которые в сумме набрали десятки тысяч просмотров. Ссылки в описаниях и комментариях ведут на фишинговый сайт, визуально копирующий легитимный ресурс. Чтобы повысить доверие, злоумышленники добавляют элементы «поддержки», например Telegram-чат.
После скачивания вместо обещанного инструмента на устройство устанавливаются сразу две вредоносные программы — стилер Arcane и майнер криптовалюты Monero. Первый собирает широкий спектр данных: логины и пароли, информацию из браузеров, данные банковских карт и криптокошельков, а также системные сведения и скриншоты экрана. Второй использует ресурсы устройства для скрытой добычи криптовалюты.
Как отметил старший эксперт Kaspersky GReAT Леонид Безвершенко, злоумышленники часто используют актуальные темы, вызывающие у пользователей наибольший интерес или тревогу. В данном случае они эксплуатируют желание людей получить доступ к привычным сервисам. Подобные предлоги нередко используются для распространения вредоносного ПО. При этом стилеры, такие как Arcane, способны собирать большие объемы данных — от учетных записей до конфигурационных файлов, а их функциональность может меняться в разных версиях.
Чтобы снизить риски, специалисты рекомендуют с осторожностью относиться к рекламе даже от известных авторов, не хранить конфиденциальные данные в браузерах и использовать специализированные решения для защиты и управления паролями.
