Arkei - это вредоносная программа для кражи информации, которая собирает конфиденциальные данные, такие как пароли приложений, информация о кредитных картах и cookies веб-браузера. Она имеет общий код с несколькими другими программами для кражи информации, включая Oski и Vidar.
Arkei
Как и многие современные семейства похитителей информации, Arkei часто продается и распространяется как услуга (MaaS), что означает, что первоначальный вектор атаки может меняться.
Криптовалюта является основной целью вредоносной программы. Новый анализ Arkei показывает, что она расширила сферу своего влияния и теперь собирает данные многофакторной (MFA) аутентификации.
В настоящее время неясно, что злоумышленники хотят сделать с этой информацией, но группа угроз, которая специально нацелилась на эту информацию, способна повлиять на людей, использующих MFA как дома, так и на работе.
Arkei также загружает различные легитимные компоненты, которые часто размещаются на взломанных веб-сайтах, и использует их во вредоносных целях. Гибкость Arkei во многом зависит от конфигурационного файла, который часто размещается рядом с этими легитимными компонентами. В зависимости от того, что включено в этом файле, вредоносная программа будет выполнять различные действия, такие как кража сохраненных данных пароля, налет на формы автозаполнения, похищение сохраненных данных кредитной карты и файлов cookie браузера.
После выполнения Arkei попытается сделать несколько HTTP веб-запросов к вредоносному URL. Эти GET HTTP-запросы предназначены для загрузки известных легитимных компонентов, которые затем используются вредоносной программой для достижения некоторых из ее вредоносных функций.
После загрузки Arkei обычно сохраняет следующие библиотеки динамических связей (DLL) в каталоге %\ProgramData\% для использования в процессе выполнения.
Indicators of Compromise
IPv4
- 23.3.13.154
- 37.252.15.126
- 5.79.66.145
- 72.21.81.240
- 74.125.155.202
- 74.125.155.216
TTP - тактика, техника, процедуры
Тактика, методы и процедуры (TTP) обобщают предполагаемые методы MITRE ATT&CK, используемые Arkei.
ID | Техника | CWE | Описание | Доверие |
1 | T1006 | CWE-22 | Обход имени пути | Высокий |
2 | T1059 | CWE-94 | Межсайтовый скриптинг | Высокий |
3 | T1059.007 | CWE-79 | Межсайтовый скриптинг | Высокий |