Arkei Malware

Spyware Security

Arkei - это вредоносная программа для кражи информации, которая собирает конфиденциальные данные, такие как пароли приложений, информация о кредитных картах и cookies веб-браузера. Она имеет общий код с несколькими другими программами для кражи информации, включая Oski и Vidar.

Arkei

Как и многие современные семейства похитителей информации, Arkei часто продается и распространяется как услуга (MaaS), что означает, что первоначальный вектор атаки может меняться.

Криптовалюта является основной целью вредоносной программы. Новый анализ Arkei показывает, что она расширила сферу своего влияния и теперь собирает данные многофакторной (MFA) аутентификации.

В настоящее время неясно, что злоумышленники хотят сделать с этой информацией, но группа угроз, которая специально нацелилась на эту информацию, способна повлиять на людей, использующих MFA как дома, так и на работе.

Arkei также загружает различные легитимные компоненты, которые часто размещаются на взломанных веб-сайтах, и использует их во вредоносных целях. Гибкость Arkei во многом зависит от конфигурационного файла, который часто размещается рядом с этими легитимными компонентами. В зависимости от того, что включено в этом файле, вредоносная программа будет выполнять различные действия, такие как кража сохраненных данных пароля, налет на формы автозаполнения, похищение сохраненных данных кредитной карты и файлов cookie браузера.

После выполнения Arkei попытается сделать несколько HTTP веб-запросов к вредоносному URL. Эти GET HTTP-запросы предназначены для загрузки известных легитимных компонентов, которые затем используются вредоносной программой для достижения некоторых из ее вредоносных функций.

После загрузки Arkei обычно сохраняет следующие библиотеки динамических связей (DLL) в каталоге %\ProgramData\% для использования в процессе выполнения.

Indicators of Compromise

IPv4

  • 23.3.13.154
  • 37.252.15.126
  • 5.79.66.145
  • 72.21.81.240
  • 74.125.155.202
  • 74.125.155.216

TTP - тактика, техника, процедуры

Тактика, методы и процедуры (TTP) обобщают предполагаемые методы MITRE ATT&CK, используемые Arkei.

ID Техника CWE Описание Доверие
1 T1006 CWE-22 Обход имени пути Высокий
2 T1059 CWE-94 Межсайтовый скриптинг Высокий
3 T1059.007 CWE-79 Межсайтовый скриптинг Высокий
SEC-1275-1
Добавить комментарий