Arkei - это вредоносная программа типа stealer, способная собирать пароли, автосохраненные формы, учетные данные криптовалютных кошельков и файлы.
Также известен как
- ArkeiStealer
Что такое вредоносная программа Arkei
Arkei - это крадущая программа, предназначенная для утечки информации из зараженных систем. Типично для этого типа вредоносного ПО, оно распространяется по модели Malware-as-a-Service (MaaL), что означает, что любой может использовать вредоносное ПО с минимальными техническими знаниями - все, что вам нужно, это приобрести доступ к панели управления на сайте, который продает эту услугу.
Это вредоносное ПО, написанное на языке C++, нацелено на системы Windows и считается угрозой среднего воздействия и среднего риска.
Появившись с 2018 года, Arkei стал популярным среди противников: он не только широко используется, но и породил несколько форков, включая Mars, Oski и Vidar stealer, о которых мы рассказывали ранее в тренд-трекерах ANY.RUN.
Arkei способен извлекать разнообразную информацию с зараженных машин, включая:
- автосохранения форм, хранящиеся в браузере
- логины и пароли
- Файлы
- Криптовалютные кошельки
Владельцы криптовалют подвергаются наибольшему риску и являются основными целями Arkei. Он может извлекать данные из около 40 расширений криптокошельков, включая MetaMask, на долю которого приходится более 80% использования кошельков web3.
Кроме того, целью кражи являются более 30 веб-браузеров, включая Chrome, Firefox, Microsoft Edge, Opera, Brave и TOR.
Arkei также может атаковать расширения 2FA - эта возможность появилась у него примерно с начала 2022 года. Пока неясно, как злоумышленники планируют использовать эти данные, но несомненно, что эта разработка может представлять новые риски как для корпоративных, так и для частных пользователей.
Конкретные типы данных, на которые нацелена вредоносная программа, зависят от ее конфигурационного файла - Base64-кодированного файла с расширением .PHP - и будут варьироваться от кампании к кампании. Злоумышленник может использовать его для настройки поведения Arkei с помощью пользовательских правил, а также для получения конкретной информации.
Важно отметить, что Arkei завершает выполнение на машинах из регионов бывшего СССР.
Угонщик определяет регион, обращаясь к языковому идентификатору в настройке Region Format. Такое поведение типично для вредоносных программ, происходящих с территорий бывшего СССР, что дает представление о происхождении Arkei.
Arkei оснащен множеством методов уклонения, которые помогают ему избежать обнаружения. Например, он проверяет, что имя компьютера не установлено на ""HAL9TH"", а имя пользователя на ""JohnDoe"" - это настройки по умолчанию эмулятора Windows Defender. Он также проверяет, не загружено ли несколько DLL в одном процессе, по списку антивирусных и эмуляционных программ.
Когда приходит время собирать данные, Arkei компилирует свои находки в архив .zip, дает ему случайное 12-символьное имя и отправляет его на свой управляющий сервер. В дополнение к информации, указанной в конфигурационном файле, он делает снимок экрана системы и извлекает системную информацию.
Процесс выполнения Arkei
После заражения системы устанавливается TCP-соединение с удаленным сервером хакера. Сервер отправляет вредоносному ПО закодированные параметры Base64, включая шаблоны путей поиска и маски поиска файлов. Используя эти параметры, вредоносная программа определяет, какую информацию ей нужно украсть с компьютера жертвы.
Затем вредоносная программа запрашивает у удаленного сервера библиотеки, необходимые для ее работы. Эти библиотеки отправляются в виде ZIP-архивов.
Последующее взаимодействие с сервером заключается в отправке украденных файлов на сервер C2. Некоторые субъекты угроз используют технику упаковки образцов Arkei (T1027.002), чтобы избежать обнаружения сигнатурами.
После запуска упакованного образца в системе создается процесс AppLaunch.exe, который является частью .NET Framework. Затем в этот процесс внедряется вредоносный код.
Распространение Arkei
Arkei находит своих жертв различными способами. Он доставляется с помощью вредоносных почтовых кампаний в зараженных вложениях, распространяется через вредоносную рекламу, а иногда встречается во взломанном программном обеспечении.
Злоумышленники используют тактику троянского коня, чтобы убедить потенциальных жертв установить Arkei на свои системы: могут использоваться методы социальной инженерии, например, предложение бесплатной версии программного обеспечения премиум-класса.
Arkei также был связан с кампаниями, использующими SmokeLoader - продвинутую модульную вредоносную программу, которая используется для того, чтобы закрепиться в системе и подгрузить другие исполняемые файлы. Хотя Smoke Loader, как вы, вероятно, догадались по его названию, в основном используется как загрузчик, он может быть оснащен функцией кражи информации, что удваивает угрозу, если используется вместе с Arkei.
Заключение
Arkei представляет собой значительный риск для конфиденциальных данных пользователей, особенно для криптовалютных кошельков.
Но пользователи могут сохранить свои логины и пароли, файлы и данные 2FA в безопасности, следуя следующим рекомендациям:
- Избегать перехода по подозрительным ссылкам
- Проявлять бдительность при получении электронных писем от неизвестных отправителей
- Держаться подальше от похабной рекламы
- Внимательно относиться к тому, откуда они скачивают программное обеспечение