Informacijos vagystės kenkėjiškų programų operacija, pavadinta „Arkanix Stealer“, kuri 2025 m. pabaigoje buvo reklamuojama keliuose tamsaus interneto forumuose, greičiausiai buvo sukurta kaip AI padedamas eksperimentas.
Į projektą buvo įtrauktas valdymo pultas ir „Discord“ serveris, skirtas bendrauti su vartotojais, tačiau autorius juos pašalino nepranešęs, praėjus vos dviem mėnesiams nuo operacijos pradžios.
„Arkanix“ pasiūlė daugybę standartinių duomenų vagystės funkcijų, prie kurių yra įpratę kibernetiniai nusikaltėliai, taip pat modulinę architektūrą ir antianalizės funkcijas.
„Kaspersky“ tyrėjai išanalizavo „Arkanix“ vagystę ir rado įkalčių, rodančių, kad LLM padedama plėtra, kuri „galėjo smarkiai sumažinti kūrimo laiką ir išlaidas“.
Šaltinis: Kaspersky
Tyrėjai mano, kad Arkanix buvo trumpalaikis projektas, skirtas greitai gauti finansinę naudą, todėl aptikimas ir stebėjimas yra daug sunkesnis.
Arkanix pasirodo internete
„Arkanix“ buvo reklamuojamas įsilaužėlių forumuose 2025 m. spalio mėn., siūlydamas dvi pakopas potencialiems klientams: pagrindinį lygį su „Python“ pagrindu įdiegtu diegimu ir „premium“ lygį su vietine C++ naudingąja apkrova naudojant VMProtect apsaugą, integruojantį AV vengimo ir piniginės įpurškimo funkcijas.
Šaltinis: Kaspersky
Kūrėjas sukūrė „Discord“ serverį, kuris veikė kaip forumas, skirtas projekto bendruomenei gauti naujinimus, teikti atsiliepimus apie siūlomas funkcijas ir gauti pagalbos.
Be to, buvo sukurta nukreipimo programa, skirta aktyviau reklamuoti projektą, suteikiant siūlytojams papildomą nemokamą valandą aukščiausios kokybės prieigos, o potencialūs nauji klientai gavo vieną savaitę nemokamą prieigą prie „premium“ versijos.
Šaltinis: Kaspersky
Duomenų vagystės galimybės
„Arkanix“ kenkėjiška programa gali rinkti sistemos informaciją, pavogti naršyklėje saugomus duomenis (istoriją, automatinio pildymo informaciją, slapukus, slaptažodžius) ir kriptovaliutų piniginės duomenis iš 22 naršyklių. „Kaspersky“ tyrėjai teigia, kad ji taip pat gali išgauti 0Auth2 prieigos raktus „Chromium“ pagrindu veikiančiose naršyklėse.
Be to, kenkėjiška programa gali pavogti duomenis iš Telegram, pavogti Discord kredencialus, plisti per Discord API ir siųsti pranešimus aukos draugams/kanalams.
„Arkanix“ taip pat taikosi į „Mullvad“, „NordVPN“, „ExpressVPN“ ir „ProtonVPN“ kredencialus ir gali archyvuoti failus iš vietinės failų sistemos, kad juos asinchroniškai išfiltruotų.
Papildomi moduliai, kuriuos galima atsisiųsti iš komandų ir valdymo, yra „Chrome“ griebtuvas, „Exodus“ arba „Atomic“ piniginės lopinėlis, ekrano kopijų įrankis, HVNC ir „FileZilla“ bei „Steam“ stealeriai.
Šaltinis: Kaspersky
„Premium“ vietinė C++ versija prideda KPP kredencialų vagystes, apsaugos nuo smėlio dėžės ir derinimo patikras, WinAPI maitinamą ekrano fiksavimą, taip pat taikosi į Epic Games, Battle.net, Riot, Unreal Engine, Ubisoft Connect ir GOG.
Aukštesnės pakopos variante taip pat pateikiamas „ChromElevator“ post-eksploatavimo įrankis, kuris įtraukiamas į sustabdytus naršyklės procesus dėl duomenų vagystės ir yra skirtas apeiti „Google App-Bound Encryption“ (ABE) apsaugą, kad būtų galima neteisėtai pasiekti vartotojo kredencialus.
Arkanix vagių eksperimento tikslas lieka neaiškus. Šis projektas gali būti bandymas nustatyti, kaip LLM pagalba gali pagerinti kenkėjiškų programų kūrimą ir kaip greitai bendruomenei gali būti pristatytos naujos funkcijos.
„Kaspersky“ vertinimu, „Arkanix“ yra „labiau viešas programinės įrangos produktas, o ne šešėlinis vagis“.
Tyrėjai pateikia išsamų kompromiso rodiklių (IoC) sąrašą, kuriame yra aptiktų failų maišos, taip pat domenai ir IP adresai.
Šiuolaikinė IT infrastruktūra juda greičiau, nei gali atlikti rankinės darbo eigos.
Šiame naujajame „Tines“ vadove sužinokite, kaip jūsų komanda gali sumažinti paslėptus rankinius delsus, pagerinti automatinio atsako patikimumą ir sukurti bei išplėsti intelektualias darbo eigas su jau naudojamais įrankiais.
