主要發現

對 Arcane Stealer 的分析顯示，其主要功能是從受感染的設備中全面收集大量資料 [1]。這款惡意軟體針對的資訊範圍相當廣泛，涵蓋各類應用的帳戶認證(Account credentials )，包括虛擬私人網路 (VPN) 用戶端、線上遊戲平台、網路工具、訊息應用程式、電子郵件用戶端、加密貨幣錢包，以及多種網頁瀏覽器 [1]。除了應用特定的資料外，Arcane 還會收集詳細的系統資訊、擷取受感染設備的螢幕截圖，並提取儲存的 Wi-Fi 網路密碼 [1]。值得注意的是，與此惡意軟體相關的遙測資料(Telemetry data) 顯示，其主要目標為俄語使用者 [1]。大多數已確認的受害者位於俄羅斯、白俄羅斯和哈薩克，這可能暗示其起源或特定的地緣政治或經濟動機。這一地理焦點可能意味著威脅行為者位於該地區，或對這些國家的個人或實體有特定目標。

散布與傳播

Arcane Stealer 的初始散布途徑涉及使用 YouTube 影片廣告遊戲外掛 [1]。這些具有欺騙性的影片通常包含一個連結，引導用戶下載一個受密碼保護的壓縮檔。用戶下載並試圖存取壓縮檔內容時，會被要求輸入密碼。解壓後，壓縮檔內含一個名為 start.bat 的批次檔 [1]。執行此批次檔會啟動一系列動作，目的為傳遞最終的惡意軟體 Payload 。該 start.bat 腳本利用 PowerShell（一種Command-line shell與Scripting language）從遠端位置下載另一個受密碼保護的壓縮檔 [1]。此下載的壓縮檔隨後使用 UnRAR.exe 工具解壓，解壓密碼通常直接嵌入在 start.bat 檔案中 [1]。解壓後， start.bat 腳本會啟動新解壓檔案中的可執行檔，並試圖停用 Windows SmartScreen 功能，這是一個目的為警告用戶潛在惡意軟體的安全機制 [1]。據報導，最終下載的壓縮檔同時包含加密貨幣挖礦程式與 Arcane Stealer 惡意軟體本身 [1]。這顯示威脅行為者可能有多重目標，包括透過非法挖礦活動獲利以及竊取資料。隨後，威脅行為者在他們的 YouTube 頻道上推廣一款名為 ArcanaLoader 的程式 [1]。此載入程式被宣傳為下載遊戲外掛與軟體破解的工具，但實際上其主要功能是將 Arcane Stealer 傳遞給不知情的用戶 [1]。在感染初期使用多個受密碼保護的壓縮檔與批次檔，可能是為了規避防毒軟體的簽章式偵測。透過將惡意 Payload 加密在受密碼保護的壓縮檔中，威脅行為者試圖阻止對惡意軟體代碼的直接掃描。隨後使用批次檔與 PowerShell 實現動態下載與執行後續階段，使安全研究人員與防毒引擎的靜態分析更具挑戰性。同時包含挖礦程式與竊取程式可能顯示威脅行為者有不同的動機或分工，一部分專注於透過挖礦立即獲利，另一部分則針對長期資料外洩。或者，這可能僅是為了從每台受感染的設備中最大化非法利潤的策略。

功能與目標資料

Arcane Stealer 的核心功能圍繞著從受害者電腦上安裝的多樣應用程式中竊取帳戶資訊與設定檔 [1]。此惡意軟體的目標範圍廣泛，涵蓋 VPN 用戶端、網路工具、訊息應用程式、電子郵件用戶端、遊戲平台與加密貨幣錢包 [1]。Arcane Stealer 針對的具體資料類型非常廣泛，詳情如下：

• 網頁瀏覽器： Arcane 設計用於竊取 Chromium-based（例如 Chrome、Edge、Opera）與 Gecko-based （例如 Firefox）的網頁瀏覽器所儲存的登入資訊、密碼、信用卡資料、身份驗證認證(Authentication tokens)及其他認證 [1]。這類資料特別敏感，因為它通常包括對銀行、電子商務與社群媒體平台等多種線上服務的存取認證(Access credentials)。
• VPN 用戶端： 此惡意軟體針對多種 VPN 用戶端的設定檔、設置與帳戶資訊，包括 OpenVPN、Mullvad、NordVPN、IPVanish、Surfshark、Proton、hidemy.name、PIA、CyberGhost 與 ExpressVPN [1]。若 VPN 認證被竊，可能暴露用戶的真實 IP 位址與線上活動，削弱使用 VPN 帶來的隱私與安全優勢。
• 網路工具： Arcane 目的為竊取與網路相關的客戶端與工具的帳戶資訊，例如 ngrok、Playit、Cyberduck、FileZilla 與 DynDNS [1]。存取這些工具可能讓攻擊者對受感染系統建立持續存取，或控制網路資源。
• 訊息應用程式： 此惡意軟體針對多種訊息平台的帳戶資訊，包括 ICQ、Tox、Skype、Pidgin、Signal、Element、Discord、Telegram、Jabber 與 Viber [1]。被竊的訊息帳戶可用於社交工程攻擊、散布進一步的惡意軟體，或存取敏感對話。
• 電子郵件用戶端： Arcane 特別針對 Outlook 電子郵件用戶端的帳戶資訊 [1]。電子郵件帳戶通常包含大量個人與專業資訊，可作為存取其他線上帳戶的入口，或用於發送垃圾郵件與釣魚郵件。
• 遊戲客戶端與服務： 此惡意軟體試圖竊取熱門遊戲平台與服務的帳戶資訊，例如 Riot Client、Epic Games Store、Steam、Ubisoft Connect、Roblox、Battle.net 與多種 Minecraft 客戶端 [1]。這些帳戶可能包含財務資訊、已購買的遊戲、遊戲內資產與個人詳情。
• 加密貨幣錢包： Arcane 針對多種加密貨幣錢包的資料，包括 Zcash、Armory、Bytecoin、Jaxx、Exodus、Ethereum、Electrum、Atomic、Guarda 與 Coinomi [1]。這些錢包持有珍貴的數位資產，使其成為尋求財務利益的網路犯罪者的首要目標。
• 系統資訊： 除了應用特定的資料外，Arcane 還收集全面的系統資訊，包括作業系統版本、安裝日期、系統啟用的數位產品金鑰、授權驗證詳情、用戶名稱、電腦名稱、地理位置、CPU 規格、記憶體詳情、顯示卡資訊、已安裝的硬碟清單、網路與 USB 設備，以及已安裝的反惡意軟體解決方案與網頁瀏覽器清單 [1]。這種詳細的系統檔案可幫助攻擊者量身打造進一步的攻擊或辨識潛在漏洞。
• 螢幕截圖與程序清單： Arcane 能夠拍攝受感染設備的螢幕截圖並產生當前執行的程序清單 [1]。螢幕截圖可能捕捉螢幕上顯示的敏感資訊，例如登入認證或私人對話，而程序清單則幫助攻擊者了解軟體環境並辨識潛在的安全工具。
• Wi-Fi 網路資料： 此惡意軟體還能提取已儲存的 Wi-Fi 網路清單及其對應密碼 [1]。存取 Wi-Fi 密碼可能讓攻擊者未經授權存取同一網路上的其他設備。
• 瀏覽器加密金鑰與 Cookies： Arcane 使用進階技術提取敏感的瀏覽器資料。它透過 Data Protection API (DPAPI) 獲取瀏覽器加密金鑰，並使用獨立的 Xaitax 工具可執行檔破解這些金鑰 [1]。這使惡意軟體能解密本機儲存的瀏覽器資料，包括密碼與自動填寫資訊。此外，Arcane 使用一種方法從 Chromium-Based 的瀏覽器中提取 Cookies，方法是秘密啟動一個帶有啟用除錯埠的瀏覽器副本，然後連接到該埠以從預定義的網站清單中請求 Cookies [1]。被竊的 Cookies 通常可用於繞過認證機制，未經授權存取線上帳戶而無需實際密碼。

廣泛且多樣的目標應用與資料類別顯示出一種廣泛的攻擊策略，目的為最大化竊取資訊的數量與種類。這些資料可能被用於多種惡意目的，包括在地下市場販售、身份盜竊、財務詐欺，以及對個人與組織的進一步針對性攻擊。目標清單中包含特定 VPN 用戶端，顯示威脅行為者意識到用戶試圖增強線上隱私與安全，並試圖繞過這些保護措施。

表格：目標應用與竊取資料類別

技術分析

Arcane Stealer 使用多階段感染過程來規避偵測並傳遞其 Payload [1]。此過程通常從一個批次檔（ start.bat ）開始，該檔案負責協調後續步驟。Batch script利用 PowerShell 下載額外元件（通常為受密碼保護的壓縮檔），然後使用 UnRAR.exe 工具提取其內容 [1]。這種分層方式為感染鏈增加了複雜性，有助於繞過可能標記單一惡意可執行檔的簡單安全掃描。Arcane 使用的一個顯著技術是試圖停用 Windows SmartScreen [1]。SmartScreen 是一項安全功能，會在用戶執行潛在惡意應用程式前發出警告。透過試圖停用此功能，惡意軟體目的為降低用戶介入或作業系統偵測的可能性。為了從網頁瀏覽器竊取資料，Arcane 利用 Data Protection API (DPAPI)，這是 Windows 中允許應用程式加密敏感資料的元件 [1]。該惡意軟體使用 DPAPI 獲取與瀏覽器資料相關的加密金鑰。此外，它包含 Xaitax 工具的可執行檔，用於進一步破解瀏覽器金鑰，可能存取受更強加密機制保護的資料 [1]。這顯示出其專注於全面提取瀏覽器儲存的認證與資訊。Arcane 使用的一個特別精密的技術是從基於 Chromium 的瀏覽器中提取 Cookies [1]。這透過秘密啟動目標瀏覽器的新實例(New instance) 並啟用特定除錯埠來實現。惡意軟體隨後連接到此除錯埠並發送命令，從預定義的網站清單中取出 Cookies [1]。此方法使惡意軟體能獲取 Session Cookies，可用於冒充用戶並未經授權存取其線上帳戶，而無需登入認證。需注意的是，分析的文章未提供 Arcane 與其指揮與控制 (C2) 伺服器通訊的具體細節 [1]。關於 C2 通訊協定與基礎架構的資訊將提供更多關於惡意軟體運作及潛在干擾方法的見解。DPAPI 利用與使用 Xaitax 等專用破解工具的結合，凸顯威脅行為者對獲取瀏覽器相關資料的高度重視。瀏覽器認證與 Session Cookies 可提供對多種線上服務的存取，使其成為利潤豐厚的目標。利用除錯埠提取 Cookies 顯示出更進階的方法，以繞過可能阻止直接存取 Cookie 檔案的標準瀏覽器安全措施。這反映了惡意軟體開發者持續調整技術，以因應瀏覽器安全的改進。

威脅評估與潛在影響

由於 Arcane Stealer 廣泛的資料收集能力，其潛在威脅等級被認為很高 [1]。該惡意軟體能針對廣泛的應用程式，大幅增加其對受感染系統的潛在影響 [1]。透過提取登入資訊、密碼、信用卡詳情、身份驗證認證、設定檔與多種類別的帳戶資訊，Arcane 能嚴重危害受害者的數位生活 [1]。此外，收集系統資訊、螢幕截圖、執行中的程序清單與 Wi-Fi 網路資料，為攻擊者提供了受感染環境的全面概覽，可能促進進一步的惡意活動 [1]。Arcane Stealer 感染成功的後果對受害者來說可能是嚴重的，導致高度敏感的個人與財務資訊被洩露 [1]。這些被竊的資料可用於多種惡意目的，包括身份盜竊、透過未經授權存取銀行與支付帳戶進行財務詐欺，以及未經授權存取多種線上服務與平台 [1]。該惡意軟體繞過 Windows SmartScreen 等安全措施的能力進一步放大其潛在影響，增加成功感染與資料外洩的可能性 [1]。財務資料竊取（例如信用卡資訊與加密貨幣錢包詳情）與從訊息應用程式與電子郵件用戶端竊取個人資料的結合，構成多方面的威脅。受害者可能面臨即時財務損失，以及長期隱私侵犯與身份被盜用與濫用的潛在風險。針對遊戲客戶端的攻擊看似較不嚴重，但也可能產生重大影響。被竊的遊戲帳戶可能包含具有現實世界價值的虛擬資產與遊戲內貨幣，或對用戶有重要情感價值。這些帳戶可在黑市上出售，或用於干擾受害者的遊戲體驗。

防禦與緩解策略

文章提供了多項建議以減輕 Arcane Stealer 帶來的威脅 [1]。首要建議是對可疑軟體的廣告保持謹慎，特別是那些提供遊戲外掛與軟體破解的廣告 [1]。用戶應警惕從未經驗證來源下載並執行此類軟體的風險。此外，建議避免點擊陌生部落客或個人提供的連結，因為這些連結可能導向惡意網站或檔案 [1]。僅從可信且有信譽的來源下載軟體對於預防惡意軟體感染至關重要。最後，文章強烈建議使用能夠偵測並阻止(neutralizing) 像 Arcane 這樣快速演變的惡意軟體威脅的強大安全軟體 [1]。保持安全軟體的更新對於確保其能有效識別並阻擋最新威脅至關重要。對遊戲外掛保持謹慎的建議突顯了這種散布方法的有效性，並強調提升遊戲玩家網路安全意識的必要性。應教育此族群了解尋求未經授權軟體優勢的風險。建議使用「強大安全軟體」意味著僅依賴作業系統內建的安全功能可能不足以對抗像 Arcane 這樣積極試圖停用此類功能的複雜惡意軟體。專用的安全解決方案通常採用更進階的偵測技術與行為分析來識別並阻擋威脅。

結論

Arcane Stealer 因其全面的資料竊取能力、精密的散布方法以及針對的廣泛敏感資訊範圍，構成重大威脅。該惡意軟體對俄語使用者的關注及其透過遊戲玩家喜愛的管道傳播，凸顯了網路犯罪者策略的演變。技術分析揭示了多階段感染過程以及使用進階技術提取瀏覽器資料與繞過安全措施。Arcane Stealer 感染的潛在影響是嚴重的，從財務損失與身份盜竊到個人與專業通訊的洩露。防禦此威脅需要用戶保持警惕，特別是對可疑軟體與不受信任來源的警惕，以及實施強大且更新的安全軟體。進一步研究 Arcane Stealer 背後的指揮與控制基礎架構及其威脅行為者的具體動機與關聯，將為開發更針對性的防禦策略提供寶貴見解。

參考文章

[1] Kaspersky, AMR. "Arcane Stealer: We Want All Your Data." Published March 19, 2025.