Criminosos estão utilizando vídeos no YouTube que promovem cheats de jogos para disseminar o malware Arcane, um stealer voltado para usuários de língua russa. Segundo a Kaspersky, essa ameaça é particularmente preocupante devido à vasta quantidade de dados que coleta. O malware rouba informações de contas em clientes de VPN e jogos, além de diversas ferramentas de rede como ngrok, Cyberduck e FileZilla. O ataque começa com links em vídeos do YouTube que direcionam para um arquivo protegido por senha. Quando aberto, ele executa um script batch que baixa outro arquivo via PowerShell. Esse processo também desativa proteções do Windows SmartScreen e adiciona exceções de segurança para os drives.

Dentre os arquivos baixados, um é um minerador de criptomoedas e o outro é o stealer VGS, anteriormente baseado no Phemedrone Stealer, mas substituído pelo Arcane a partir de novembro de 2024. O Arcane rouba credenciais de login, senhas, cartões de crédito e cookies de navegadores baseados em Chromium e Gecko. Ele também coleta configurações de aplicativos como clientes de VPN (NordVPN, ProtonVPN, ExpressVPN), plataformas de jogos (Steam, Riot, Epic, Roblox, Ubisoft Connect) e carteiras de criptomoedas (Ethereum, Electrum, Coinomi).

O malware ainda é capaz de capturar capturas de tela, listar redes Wi-Fi salvas e seus respectivos acessos, além de extrair chaves criptográficas de navegadores usando a ferramenta Xaitax. Além disso, os hackers expandiram suas atividades com o ArcanaLoader, um suposto downloader de cheats que, na verdade, instala o Arcane. Os principais alvos dessa campanha são usuários da Rússia, Belarus e Cazaquistão. A Kaspersky alerta que essa operação ilustra a constante evolução dos métodos dos cibercriminosos e a sofisticação das ferramentas utilizadas para roubo de dados.