Кража данных вместо программы для обхода блокировок: подробный разбор

С конца февраля 2026 года наши эксперты наблюдают новую волну распространения программы для кражи данных Arcane, нацеленной на русскоязычную аудиторию. В прошлом году тот же самый зловред успешно маскировался под коды для игры Minecraft. В этот раз в качестве приманки выступает несуществующий инструмент обхода блокировок под названием FixIt.

Обход блокировок, которого нет

Ранее мы уже рассказывали о том, как злоумышленники шантажировали блогеров, заставляя их распространять вредоносное ПО под видом программ обхода блокировок. Сейчас мошенники вновь решили воспользоваться ростом интереса к этой категории утилит максимально циничным образом — распространяя некое «средство обхода блокировок FixIt», которого просто не существует. FixIt — это чистая приманка, и единственное предназначение этой «программы» — заставить вас скачать архив с вредоносом и самостоятельно установить его себе на компьютер.

Сайт, с которого предлагается скачать FixIt, выглядит убедительно: красивый дизайн, вероятно, сгенерированный с помощью ИИ, большая кнопка загрузки и ссылка на «чат поддержки» в Telegram. Для распространения используются два адреса — fixitlab{.}cc и fix-it{.}cc, оба были зарегистрированы в конце февраля 2026 года.

Сайт, распространяющий стилер Arcane под видом средства обхода блокировок FixIt, выглядит убедительно — видимо, ИИ постарался

Кампания использует видеохостинг YouTube по уже знакомой схеме. С конца февраля на разных каналах было опубликовано не менее 20 видеороликов, рекламирующих FixIt, — в совокупности на момент обнаружения кампании они уже набрали более 20 000 просмотров. Ролики, рекламирующие вредоносный сайт, до сих пор встречаются в результатах поисковой выдачи и продолжают активно рекламироваться.

Реклама вредоносного сайта по-прежнему остается в поисковой выдаче

В предыдущей схеме злоумышленники шантажировали обычных блогеров угрозами блокировки их каналов, вынуждая размещать ссылки на вредоносный сайт. В этот раз схема, похоже, иная: ролики публикуются в специально созданных или купленных каналах.

Информацию о стилере распространяют через YouTube-каналы

Что внутри FixIt

После скачивания «программы» пользователь получает архив с именем Fixit.zip. Внутри: инструкция по установке, а также зашифрованный файл data.bin с вредоносной нагрузкой (data.bin) и BAT-файл Fixit.bat, который расшифровывает и запускает вредонос.

Чтобы пользователь не заподозрил подвоха, злоумышленники добавили в руководство специальный шаг с «перебором режимов обхода блокировки», который отвлекает внимание и тратит время жертвы на бессмысленные эксперименты по выбору и якобы «проверке» режимов обхода. Пока жертва тестирует разные варианты и нетерпеливо смотрит на прогресс «установки программы», на ее компьютер устанавливаются сразу два вредоносных ПО: зловред Arcane и программа для добычи криптовалюты Monero, транзакции которой труднее отследить. Шкала прогресса установки исчезает ровно тогда, когда зловред заканчивает собирать данные.

Пошаговая инструкция по установке FixIt похожа на типичные руководства по установке «пираток» и не вызывает отторжения у их любителей

Что крадет стилер Arcane

Список того, что Arcane передает злоумышленникам с зараженного устройства, впечатляет.

Во-первых, зловред собирает все что можно из браузеров: имена пользователя, пароли, данные банковских карт. Под угрозой практически все популярные браузеры, кроме разве что Safari.

Во-вторых, это вредоносное ПО крадет информацию о настройках и учетных записей из мессенджеров, различных программ с доступом к интернету, криптокошельков и почтового клиента Outlook.

В-третьих, зловред собирает разнообразную системную информацию: версию и дату установки ОС, лицензионный ключ Windows, имя пользователя и компьютера, местоположение, сведения о процессоре, памяти, видеоадаптере, дисках, сетевых и USB-устройствах, установленных антивирусах и браузерах.

Наконец, Arcane делает скриншоты зараженного устройства, получает списки запущенных процессов, данные о сохраненных Wi-Fi-сетях и паролях к ним.

Кто уже пострадал

По данным нашей телеметрии, жертвами этой кампании уже стали сотни пользователей из России. Реальная цифра может быть значительно выше: вредоносный сайт по-прежнему доступен и продолжает продвигаться. Предыдущие кампании с участием Arcane также были направлены против русскоязычной аудитории — пользователей из России, Беларуси и Казахстана.

Как защититься

Сам факт того, что видеоролик про ту или иную программу набрал тысячи просмотров, а сайт «по ссылке в описании» сделан качественно, вовсе не гарантирует, что вас не обманут. В последнее время мошенники, благодаря использованию ИИ, мгновенно генерируют качественные сайты, грамотные «продающие» описания и даже видеоролики с дипфейками, а сами видеохостинги не проверяют, ведут ли ссылки с них на легитимный или вредоносный ресурс.

Дадим несколько практических рекомендаций:

• не скачивайте подозрительные программы по ссылкам из описаний видеороликов — тем более из неизвестно чьих каналов;
• помните, что легитимная программа для своей установки не потребует от вас сложных действий — отключить антивирус, запустить BAT-файл или скопировать, вставить в командную строку и запустить некую строку кода;
• проверяйте дату регистрации адреса сайта (сделать это можно здесь) — если он зарегистрирован недавно, то это повод насторожиться, даже если сайт выглядит прилично;
• используйте надежное защитное решение, которое умеет обнаруживать быстро обновляющиеся угрозы — в том числе и Arcane.