Arkei Stealer

Arkei - это вредоносная программа типа stealer, способная собирать пароли, автосохраненные формы, учетные данные криптовалютных кошельков и файлы.

Также известен как

  • ArkeiStealer

Что такое вредоносная программа Arkei

Arkei - это крадущая программа, предназначенная для утечки информации из зараженных систем. Типично для этого типа вредоносного ПО, оно распространяется по модели Malware-as-a-Service (MaaL), что означает, что любой может использовать вредоносное ПО с минимальными техническими знаниями - все, что вам нужно, это приобрести доступ к панели управления на сайте, который продает эту услугу.

Это вредоносное ПО, написанное на языке C++, нацелено на системы Windows и считается угрозой среднего воздействия и среднего риска.

Появившись с 2018 года, Arkei стал популярным среди противников: он не только широко используется, но и породил несколько форков, включая Mars, Oski и Vidar stealer, о которых мы рассказывали ранее в тренд-трекерах ANY.RUN.

Arkei способен извлекать разнообразную информацию с зараженных машин, включая:

  • автосохранения форм, хранящиеся в браузере
  • логины и пароли
  • Файлы
  • Криптовалютные кошельки

Владельцы криптовалют подвергаются наибольшему риску и являются основными целями Arkei. Он может извлекать данные из около 40 расширений криптокошельков, включая MetaMask, на долю которого приходится более 80% использования кошельков web3.

Кроме того, целью кражи являются более 30 веб-браузеров, включая Chrome, Firefox, Microsoft Edge, Opera, Brave и TOR.

Arkei также может атаковать расширения 2FA - эта возможность появилась у него примерно с начала 2022 года. Пока неясно, как злоумышленники планируют использовать эти данные, но несомненно, что эта разработка может представлять новые риски как для корпоративных, так и для частных пользователей.

Конкретные типы данных, на которые нацелена вредоносная программа, зависят от ее конфигурационного файла - Base64-кодированного файла с расширением .PHP - и будут варьироваться от кампании к кампании. Злоумышленник может использовать его для настройки поведения Arkei с помощью пользовательских правил, а также для получения конкретной информации.

Важно отметить, что Arkei завершает выполнение на машинах из регионов бывшего СССР.

Угонщик определяет регион, обращаясь к языковому идентификатору в настройке Region Format. Такое поведение типично для вредоносных программ, происходящих с территорий бывшего СССР, что дает представление о происхождении Arkei.

Arkei оснащен множеством методов уклонения, которые помогают ему избежать обнаружения. Например, он проверяет, что имя компьютера не установлено на ""HAL9TH"", а имя пользователя на ""JohnDoe"" - это настройки по умолчанию эмулятора Windows Defender. Он также проверяет, не загружено ли несколько DLL в одном процессе, по списку антивирусных и эмуляционных программ.

Когда приходит время собирать данные, Arkei компилирует свои находки в архив .zip, дает ему случайное 12-символьное имя и отправляет его на свой управляющий сервер. В дополнение к информации, указанной в конфигурационном файле, он делает снимок экрана системы и извлекает системную информацию.

Процесс выполнения Arkei

После заражения системы устанавливается TCP-соединение с удаленным сервером хакера. Сервер отправляет вредоносному ПО закодированные параметры Base64, включая шаблоны путей поиска и маски поиска файлов. Используя эти параметры, вредоносная программа определяет, какую информацию ей нужно украсть с компьютера жертвы.

Затем вредоносная программа запрашивает у удаленного сервера библиотеки, необходимые для ее работы. Эти библиотеки отправляются в виде ZIP-архивов.

Последующее взаимодействие с сервером заключается в отправке украденных файлов на сервер C2. Некоторые субъекты угроз используют технику упаковки образцов Arkei (T1027.002), чтобы избежать обнаружения сигнатурами.

После запуска упакованного образца в системе создается процесс AppLaunch.exe, который является частью .NET Framework. Затем в этот процесс внедряется вредоносный код.

Распространение Arkei

Arkei находит своих жертв различными способами. Он доставляется с помощью вредоносных почтовых кампаний в зараженных вложениях, распространяется через вредоносную рекламу, а иногда встречается во взломанном программном обеспечении.

Злоумышленники используют тактику троянского коня, чтобы убедить потенциальных жертв установить Arkei на свои системы: могут использоваться методы социальной инженерии, например, предложение бесплатной версии программного обеспечения премиум-класса.

Arkei также был связан с кампаниями, использующими SmokeLoader - продвинутую модульную вредоносную программу, которая используется для того, чтобы закрепиться в системе и подгрузить другие исполняемые файлы. Хотя Smoke Loader, как вы, вероятно, догадались по его названию, в основном используется как загрузчик, он может быть оснащен функцией кражи информации, что удваивает угрозу, если используется вместе с Arkei.

Заключение

Arkei представляет собой значительный риск для конфиденциальных данных пользователей, особенно для криптовалютных кошельков.

Но пользователи могут сохранить свои логины и пароли, файлы и данные 2FA в безопасности, следуя следующим рекомендациям:

  • Избегать перехода по подозрительным ссылкам
  • Проявлять бдительность при получении электронных писем от неизвестных отправителей
  • Держаться подальше от похабной рекламы
  • Внимательно относиться к тому, откуда они скачивают программное обеспечение
Поделиться с друзьями
SEC-1275-1