Arkanix Stealer: модульный Chromium-стиллер, обход MFA и VPN-риски

Arkanix Stealer — развивающийся кроссплатформенный стиллер информации, известный своим быстрым развитием и изощренными методами уклонения. Первоначально идентифицированный как простой скрипт на Python, он превратился в более продвинутую версию на C++, которая действует через Discord и другие социальные платформы, используя доверие пользователей.

«Arkanix Stealer — развивающийся кроссплатформенный стиллер информации, известный своим быстрым развитием и изощренными методами уклонения.»

Кто стоит за атакой и модель распространения

За Arkanix стоят финансово мотивированные киберпреступники, действующие в модели «вредоносное ПО как сервис» (malware-as-a-service). Основные векторы распространения — тактики социальной инженерии: обман на тему ClickFix и имперсонация игровых инструментов. Для успешной атаки требуется выполнение с участием пользователя, то есть механизм закрепления в системе пока не зафиксирован.

Технические особенности и возможности кражи данных

Ключевая техника Arkanix — внедрение кода в процессы браузеров на базе Chromium. Это позволяет вредоносу обходить шифрование, связанное с приложением, и запрашивать конфиденциальные данные непосредственно внутри запущенного процесса.

• Chrome Elevator — модуль, который после внедрения напрямую запрашивает данные внутри браузера, а не пытается расшифровывать файлы извне.
• Кража широкого спектра данных: учетные данные, сессионные cookies, данные кошельков, профили VPN и беспроводные ключи.
• Сбор системных параметров для построения полного отпечатка (fingerprint) жертвы.
• Интеракция с сетевыми настройками системы через команды для извлечения сохраненных учетных записей и профилей.

Инфраструктура и последствия компрометации

Инфраструктура управления у Arkanix централизована; эксфильтрация данных происходит через зашифрованные каналы. Украденные сессионные cookies и другие данные позволяют злоумышленникам обходить механизмы многофакторной аутентификации и получать доступ к корпоративным сервисам.

• Риски компрометации сервисов: Microsoft 365, Slack, Salesforce — возможен доступ по перехваченным сессионным данным.
• Кража профилей VPN и беспроводных ключей повышает риск сетевых взломов и доступа к корпоративным сетям.
• Часто журналы украденных данных продаются брокерам первоначального доступа для дальнейших атак — модель многоуровневой преступной экономики.

Оценка угрозы

Хотя Arkanix не демонстрирует встроенных механизмов закрепления и требует действий пользователя, его быстрая адаптация и модульная архитектура повышают способность собирать конфиденциальную информацию. В отчете указана повышенная оценка угрозы — 6,4.

Рекомендации по защите

Для смягчения рисков авторы отчета рекомендуют комплексный подход безопасности:

• Блокировка известных доменов, связанных с Arkanix.
• Принудительное внедрение allowlisting (включение в белый список) доверенных приложений.
• Внедрение и поддержка программ обучения пользователей по распознаванию рисков социальной инженерии.
• Мониторинг необычной активности в процессах браузеров на базе Chromium и детекция инъекций кода.

Вывод

Arkanix Stealer демонстрирует, насколько быстро и гибко могут эволюционировать современные малвари‑проекты: от простого скрипта на Python до модульного решения на C++ с возможностью скрытного запроса данных внутри браузера. Его ориентация на кражу сессионных данных и профилей сети делает его особенно опасным для корпоративной среды. Адаптивность Arkanix подчеркивает постоянную необходимость развития мер защиты — как технических, так и образовательных — против все более изощренных киберугроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.