Arkanix信息窃取程序:劫掠浏览器数据、WiFi凭证与加密钱包

本文深入剖析了近期发现的Arkanix信息窃取程序。该恶意软件通过Python和C++两种版本传播,旨在窃取浏览器历史、自动填充数据、WiFi密码、加密货币钱包信息及多种VPN凭证等敏感数据。文章详细介绍了其开发分发渠道、配置面板功能、技术实现细节(包括对抗Chrome应用绑定加密的绕过技术)以及窃取能力。

Arkanix信息窃取程序:劫掠浏览器数据、WiFi凭证与加密钱包

最近,我们发现了一个名为Arkanix的新型信息窃取程序。该窃取程序可能属于短命窃取程序类别,旨在追求短期的快速经济利益。

网络安全社区在过去几年中目睹了信息窃取程序的不断激增。有些窃取程序复杂且传播广泛,而另一些则生命周期短,专为快速获利而设计。被窃取的信息主要用于经济利益,或直接使攻击者受益,或通过将窃取的数据出售给其他犯罪分子间接获利。

开发与分发

该恶意软件在Discord上宣传,并且开发迅速。恶意软件的初始版本是基于Python的。根据我们的研究,该恶意软件的出现时间已远超一个月。然而,在这短短的时间内,该恶意软件也已被用C++重新实现。分发似乎通过Discord或在线论坛上以合法工具为幌子传播恶意软件的方式进行。

网站与配置面板

为网络面板创建账户需要一个邀请码,该邀请码通过Discord聊天获得。虽然我们无法看到通过该面板提供的所有功能,但我们设法瞥见了它,这使我们能够深入了解所提供的服务。恶意软件的C++版本作为"高级"选项提供。其他高级选项包括窃取VPN账户、Steam账户、截图、Wi-Fi凭据,当然还有"技术支持"。威胁行为者通过使用VMProtect为有效载荷提供混淆。

![Web panel login screen](Figure 1) ![Web panel with various options](Figure 2)

Python版本

基于Python的恶意软件版本通过使用Nuitka打包进行分发,Nuitka将Python代码编译成字节码。它可以生成独立的可执行文件,无需安装额外文件即可运行。执行时,此类文件会提取一个Python环境以及承载已编译Python字节码的主机程序。该主机能够运行Python字节码及其所有必要的依赖项。图3显示了提取的Python环境以及承载已编译字节码的主程序loader.dll。图像还显示已编译的字节码作为资源存在于loader.dll中。

![Nuitka packaged loader](Figure 3)

在这种情况下,如名称所示,已编译的字节码只是实际窃取程序的加载器。实际的恶意代码是从hxxps[://]arkanix[.]pw/stealer.py获取的。如果为HTTP会话设置了适当的令牌,则获取成功。获取的代码从内存中运行。

检查代码后发现,该窃取程序具有详尽的功能。“功能"在构建时配置,它们是控制收集哪些数据的选项。可配置的功能包括:收集系统信息、浏览器历史记录、浏览器自动填充信息、VPN数据、Steam账户、截图、Telegram数据,以及启用通过Discord进行自我传播。

![Configuration options](Figure 4)

窃取能力

该恶意软件支持从多种基于Chromium的浏览器(常见的有Edge、Chrome、Opera、Vivaldi、Tor、Yandex等)收集信息。从一长串浏览器扩展中收集数据,其中大多数与加密货币/钱包相关。一些例子包括ExodusWeb3、MetaMask、Binance、Oxygen等。来自Exodus、Electrum、Etherium等钱包的数据也会被窃取。

窃取程序在桌面、文档和下载文件夹中搜索具有预配置扩展名且名称中包含某些关键字的文件。恶意软件随后将找到的此类文件异步上传到恶意服务器,同时继续进行其他窃取活动。会获取额外的有效载荷来收集Chrome数据。

Discord令牌会被窃取,如果启用了自我传播功能,恶意软件会将自己发送给联系人列表中和各种频道里的人。收集的系统信息包括操作系统版本、CPU和GPU信息、内存容量、屏幕分辨率、键盘布局、时区信息和已安装的防病毒软件。浏览器历史记录、自动填充信息和存储的信用卡信息会被收集。Wi-Fi配置文件通过使用netsh wlan show profiles命令导出。明文Wi-Fi密码通过这种方式被窃取(通过为每个可用配置文件使用key=clear命令行选项)。来自Mullvad、NordVPN、ExpressVPN和ProtonVPN的VPN数据被收集。

收集的文件和数据通过路由hxxps[://]arkanix[.]pw/delivery提交到恶意服务器。此外,从远程服务器获取并执行一个额外的收集器有效载荷。在撰写本文时,恶意服务器不可用,因此无法获取额外的有效载荷进行分析。

C++版本

恶意软件的本机代码版本在功能上非常相似。然而,本机版本采用了一种不同的技巧来窃取存储在基于Chromium的浏览器中的凭据和Cookie。Chrome在版本127中引入了ABE(应用绑定加密)。应用绑定加密使用一个受信任的后台服务来确认哪个应用程序正在请求数据加密。然后,该服务将应用程序的唯一身份信息嵌入到生成的加密数据中。当稍后请求解密时,该服务会将数据中嵌入的身份信息与当前请求应用程序的身份信息进行比较。除非两者身份完全匹配,否则解密失败,从而有效防止数据被系统上的其他应用程序共享或窃取。有关ABE的更多信息,可以在Google的这篇博客文章中找到。

为了攻破ABE,窃取程序的本机版本采用了"Chrome Elevator”——一种利用后渗透工具,它使用进程注入将二进制文件注入到Chrome进程中,并让注入的代码在浏览器的上下文中运行以转储Chrome数据,从而绕过ABE障碍。该工具以PE资源的形式存储在二进制文件中,并从%TEMP%文件夹提取并运行。Chrome Extractor能够从Edge、Chrome和Brave浏览器中提取数据。

恶意软件的本机版本还可以从’.RDP’文件中获取RDP信息。然而,与Python版本不同,在我们检查的二进制文件中,缺少了Discord自我传播功能。收集的信息被提交到路由hxxps://arkanix[.pw]/api/upload/direct。请求的用户代理设置为ArkanixStealer/2.0

结束语

启动一个在线社区并开展犯罪业务以快速赚钱似乎异常容易。事实上,攻击者能在短时间内流畅地提供用不同语言编写的不同恶意软件有效载荷,这暗示了这些攻击者在运行此类犯罪计划方面拥有相当丰富的经验。

入侵指标(IOC)

  1. 6ea644285d7d24e09689ef46a9e131483b6763bc14f336060afaeffe37e4beb5 – Python版本
  2. 6960d27fea1f5b28565cd240977b531cc8a195188fc81fa24c924da4f59a1389 – 本机代码版本 https[://]arkanix[.]pw
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次