Arkanix Stealer
A Kaspersky Securelist ismerteti az Arkanix Stealer felődését, ami ma már összetett, moduláris és nehezen detektálható lopási mechanizmusokkal dolgozik. Az Arkanix alapvetően web-böngészőkből és jelszókezelőkből próbál hitelesítési adatokat, cookie-kat, kriptotárca-kulcsokat és egyéb bizalmas információkat kinyerni, de a család gyorsan bővült további képességekkel, ami miatt már nem tekinthető egyszerű stealer-nek. A malware többféle moduláris komponenst tartalmaz, amelyek különböző típusú adatokat céloznak, és a kampányok során gyakran továbbított C2 szerverekkel kommunikálnak, hogy dinamikusan frissítsék a lopási profilokat és a célzott alkalmazások listáját.
A kutatók szerint az Arkanix kampányok egyik tipikus jellemzője, hogy kriptovaluta-számlákhoz és web-nagyvállalati fiókokhoz kapcsolódó friss hitelesítő adatok megszerzésére irányulnak, ami magas értékű információkat eredményez a támadók számára. A malware több rétegű elrejtési és anti-analízis technikákat alkalmaz, például futásidejű obfuszkációt, valamint gyakori C2-címváltoztatást, így a hagyományos antivírus megoldások észlelése nehezebb.
Az Arkanix nem izolált, stand-alone kódrész, számos esetben más malware-eszközökkel együtt települ kompromittált rendszerekre, például ransomware-események előszobájaként, ahol előzetes adatgyűjtés után a behatolók további rosszindulatú tevékenységeket is indítanak. A adatlopoó eszközök nem csupán adathalászatra szolgálnak, hanem összetett támadási láncok fontos elemeivé váltak, amelyek lehetővé teszik a támadók számára a belső hálózatok és fiókok gyors megszerzését és későbbi kihasználását.
