Операция по распространению вредоносного ПО для кражи информации под названием Arkanix Stealer, которая активно продвигалась на нескольких форумах в даркнете в конце 2025 года, предположительно, была разработана в рамках эксперимента с использованием ИИ.
Проект включал панель управления и сервер в Discord для связи с пользователями, однако автор удалил их без предупреждения всего через два месяца после начала работы.
Arkanix предлагал многие стандартные функции по хищению данных, к которым привыкли киберпреступники, а также обладал модульной архитектурой и функциями противодействия анализу.
Исследователи «Лаборатории Касперского» проанализировали Arkanix Stealer и обнаружили следы, указывающие на разработку с помощью больших языковых моделей (LLM), что «могло значительно сократить время и затраты на разработку».
Исследователи полагают, что Arkanix был недолговечным проектом, нацеленным на быструю финансовую выгоду, что значительно усложняет обнаружение и отслеживание.
Появление Arkanix в сети
Продвижение Arkanix началось на хакерских форумах в октябре 2025 года. Потенциальным покупателям предлагалось два уровня: базовый с реализацией на Python и «премиум» с нативным пейлоадом на C++, использующим защиту VMProtect, включая функции обхода антивирусов и внедрения в кошельки.
Разработчик создал сервер в Discord, который служил форумом для сообщества вокруг проекта, где можно было получать обновления, оставлять отзывы о предлагаемых функциях и получать помощь.
Также была введена реферальная программа для более агрессивного продвижения проекта: рефереры получали дополнительный бесплатный час доступа к премиум-версии, а потенциальные новые клиенты — одну неделю бесплатного доступа к «премиум»-варианту.
Возможности хищения данных
Вредоносное ПО Arkanix способно собирать системную информацию, красть данные, хранящиеся в браузере (историю, данные автозаполнения, куки, пароли), а также данные криптовалютных кошельков из 22 браузеров. Исследователи «Лаборатории Касперского» сообщают, что оно также может извлекать токены 0Auth2 в браузерах на основе Chromium.
Кроме того, малварь может красть данные из Telegram, учетные данные Discord, распространяться через Discord API и отправлять сообщения друзьям/каналам жертвы.
Arkanix нацелен также на учетные данные для Mullvad, NordVPN, ExpressVPN и ProtonVPN, и может асинхронно архивировать файлы из локальной файловой системы для их последующей эксфильтрации.
Дополнительные модули, которые можно загрузить из командно-контрольного центра (C2), включают граббер для Chrome, патчер для кошельков Exodus или Atomic, инструмент для создания снимков экрана, HVNC, а также стиллеры для FileZilla и Steam.
«Премиум»-версия на C++ добавляет кражу учетных данных RDP, проверки на анти-сэндбокс и анти-отладку, захват экрана с использованием WinAPI, а также нацелена на Epic Games, Battle.net, Riot, Unreal Engine, Ubisoft Connect и GOG.
Вариант более высокого уровня также доставляет инструмент постобэксплуатации ChromElevator, который внедряется в приостановленные процессы браузера для кражи данных и разработан для обхода защиты App-Bound Encryption (ABE) от Google с целью несанкционированного доступа к учетным данным пользователей.
Цель эксперимента Arkanix Stealer остается неясной. Возможно, это была попытка определить, как помощь LLM может улучшить разработку вредоносного ПО и насколько быстро новые функции могут быть доставлены сообществу.
По оценке «Лаборатории Касперского», Arkanix — «скорее публичный программный продукт, чем сомнительный стилер».
Исследователи предоставляют полный список индикаторов компрометации (IoC), который включает хеши обнаруженных файлов, а также домены и IP-адреса.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
