快速演化的Arkanix窃密木马：针对凭证与加密货币钱包的新型威胁文章详细分析了名为Arkanix Stealer的新型

一种快速移动的新型恶意软件家族——Arkanix Stealer——正在Discord和在线论坛上传播，为网络犯罪分子提供了一种现成的工具，用于窃取凭证、加密货币钱包、系统数据等。

尽管问世仅一个月，研究人员表示，Arkanix已经从简单的基于Python的工具演变为功能齐全的C++信息窃取程序，这标志着激进的开发和追求短期经济利益的倾向。

“该恶意软件支持从多种基于Chromium的浏览器中收集信息，”G Data研究人员表示。

Arkanix通过看似无害的文件在Discord服务器和社区论坛上共享传播。

一旦执行，该恶意软件可以收集浏览器数据、加密货币钱包信息、系统元数据、VPN凭证以及匹配敏感模式的文件。

运营者提供一个“高级”版本——通过Discord获得的邀请码方可访问——其中包含C++载荷、Steam账户盗窃、Wi-Fi凭证窃取、屏幕截图捕获以及额外的支持功能。

在网络控制面板中，攻击者可以实时跟踪受害者和被窃取的数据，包括密码、钱包、Cookies、Discord令牌、Telegram会话和其他高价值项目的计数。

高级版本使用VMProtect进行混淆，有助于规避传统防病毒工具和沙箱的检测。

最初的Arkanix构建是用Python编写的，并使用Nuitka打包，后者将编译的Python字节码与便携式Python环境捆绑在一起。

启动后，加载器从 hxxps://arkanix[.]pw/stealer[.]py 检索真实的恶意窃密脚本——当提供有效的令牌时，直接在内存中执行。

Python载荷支持广泛且可配置的数据窃取功能，包括：

所有收集的数据都通过诸如 hxxps://arkanix[.]pw/delivery 等端点上传到攻击者基础设施。

较新的C++变体展现了更高的复杂性。Chrome的应用绑定加密（ABE）旨在防止一个应用程序解密另一个应用程序的浏览器数据。

为了绕过此限制，Arkanix使用了Chrome Elevator，这是一款利用后工具，可将恶意代码直接注入Chrome进程——使窃密程序能够解密来自Chrome、Edge和Brave浏览器的Cookies和凭证。

C++版本的额外功能包括：

与Python版本不同，在分析的此变体样本中不包含Discord自我传播功能。

Arkanix Stealer展示了现代信息窃取程序如何通过针对浏览器、凭证和开发人员系统快速渗透组织。

由于这些攻击通常通过受信任的工具和日常通信渠道传播，安全团队必须采取分层防御策略：

利用这些控制措施有助于组织建立网络弹性。

Arkanix Stealer反映了网络犯罪生态系统中一个更广泛的转变：威胁行为者正在快速生产短周期、高影响的恶意软件，旨在快速获利，通常使用像Discord这样的平台来招募买家并大规模分发有效载荷。

其在Python和C++中的双重实现——结合了灵活的交付方式和原生级别的隐蔽性——标志着商品化恶意软件开发者的日益成熟。

总而言之，这些趋势指向一个日益专业化的地下经济，其中速度、适应性和跨平台能力已成为现代信息窃取程序的核心特征。

这些趋势凸显了零信任原则对于现代安全计划日益重要的原因。