Gyors pénz – gyors eltűnés
Konkrétabban, az Arkanix októberben jelent meg a hackervilágban, kétféle verzióval: az alapváltozat Pythonban íródott, a prémium azonban natív C++-ban készült, VMProtect-védelemmel, antivírus-kerüléssel és kriptotárca-lopó funkciókkal büszkélkedett. Discord-felületen aktív közösség is szerveződött, ahol a tagok fejlesztési javaslatokat adhattak és támogatást kérhettek. A terjesztéshez speciális ajánlóprogram is segített: az új belépők egy hétig ingyen próbálhatták ki a prémium funkciókat.
Profi adatlopás – széles támadási felület
Az Arkanix kifejezetten széles körű adatlopásra alkalmas: rendszerinfót, böngészőből mentett jelszavakat, böngészési előzményeket, automatikus kitöltési adatokat, sütiket, 22 különféle böngésző kriptotárca-információit, sőt még OAuth2-tokeneket is képes kitermelni a Chromium-alapúaknál. Emellett ellopja a Telegram- és Discord-hozzáféréseket, képes a Discord-API-n keresztül továbbterjedni, sőt, üzeneteket küld az áldozat barátainak, illetve csatornáira. A VPN-szolgáltatók – Mullvad, NordVPN, ExpressVPN, ProtonVPN – felhasználóneveit és jelszavait is célozza, emellett fájlokat is archivál bármilyen mappából.
Még több lopás prémium szinten
A prémium modulok pluszban tartalmaznak Chrome-böngészőadat-kinyerő eszközt, kriptotárca-funkciót (Exodus, Atomic), képernyőkép-készítőt, FileZilla- és Steam-stealert, HVNC-t, távoli asztali hozzáférést, anti-sandbox és anti-debug megoldásokat. Sőt, támadja az Epic Games, Riot, Unreal Engine, Ubisoft Connect, GOG és Battle.net platformokat is. A ChromElevator nevű exploit speciális célja, hogy lebénított böngészőfolyamatokba injektálja magát, és kikerülje a Google App-Bound Encryption védelmét, ezáltal hozzáférjen a felhasználói adatokhoz.
Kísérleti projekt vagy új korszak?
Az Arkanix célja nem egyértelmű: teszt-e arra, hogy miként gyorsíthatja fel az MI a kártékony kódfejlesztést, vagy egyszerűen gyors haszonszerzés egy felturbózott adatlopóval? A bizonyítékok alapján fejlesztője valóban LLM-ekkel dolgozott, ami drasztikusan csökkenthette a fejlesztési költségeket és az időigényt. A kutatók szerint az Arkanix egyre inkább a klasszikus, nyílt forráskódú szoftverre hasonlít, semmint egy eldugott, illegális eszközre. A Kaspersky IOC-kkel – fájlból készült hashekkel, domainekkel és IP-címekkel – igyekezett azonosítani és követni a kártevőt.
