Обнаружен новый инфостилер «Arkanix», созданный, предположительно, с помощью LLM. Он использует варианты на Python и C++ для кражи учетных данных, данных браузера и финансов. Исследователи «Лаборатории Касперского» отмечают следы ИИ в разработке. — csoonline.com
Недавно обнаруженный инфостилер, предположительно созданный с помощью большой языковой модели, нацелен на жертв с использованием вариантов на Python и C++, каждый из которых адаптирован для разного этапа кражи данных. Исследователи «Лаборатории Касперского» обнаружили стилер под названием «Arkanix», способный извлекать учетные данные, данные браузера, криптовалюту и банковские активы с зараженных машин.
«Он собирает огромный объем информации, включая крайне конфиденциальные личные данные», — заявили исследователи «Лаборатории Касперского» в блоге Securelist. «Будучи весьма функциональным, он содержит вероятные следы разработки с помощью LLM, что позволяет предположить, что такое содействие могло радикально сократить время и затраты на разработку».
Arkanix работает по модели MaaS (Malware-as-a-Service) модель, позволяя злоумышленникам покупать доступ к вредоносному ПО, а также к панели управления с настраиваемыми полезными нагрузками и статистикой. Обращение к помощи ИИ, отметили исследователи, сигнализирует о том, что атакующие нацелены на одноразовую кампанию для быстрой финансовой выгоды, а не на длительное заражение.
Активно продвигаемое двуязычное вредоносное ПО
Одним из ключевых аспектов Arkanix является его двуязычная конструкция, которая позволяет подписчикам нацеливаться как на среды на базе Python, так и на C++. Реализация на Python легче модифицируется и позволяет быстро итерировать, в то время как сборка на C++ больше ориентирована на производительность, скрытность и более сильное сопротивление анализу.
После первоначального заражения, которое исследователи не смогли отследить и с высокой долей уверенности предположили фишинг, Python-загрузчик поступает с контролируемой злоумышленником конечной точки, что приводит к созданию настраиваемого имплантата, с настройками по умолчанию, заданными в файле скрипта. Подписчики могут изменять список функций на панели управления, поскольку стилер может динамически обновлять функции, отправляя GET-запросы на командный и управляющий (C2) сервер Arkanix.
Нативная (C++) версия стилера также использует выделенный домен в качестве C2, хотя некоторые наблюдаемые собранные тестовые образцы использовали вместо этого бота в Discord. Кроме того, она включает обширное ведение журнала для отладки и реализует контрмеры против анализа, такие как обеспечение того, чтобы приложение не запускалось в песочнице или под отладчиком.
В раскрытии информации отмечалось активное продвижение стилера в подпольных пространствах с использованием обширных маркетинговых материалов, списков функций и поддерживающей инфраструктуры. Хотя это не является чем-то невиданным для моделей MaaS, такой откровенный маркетинг вредоносного ПО соответствует пониманию исследователей о том, что кампания является разовой операцией для быстрой отдачи.
Но некоторые части анализа говорят об обратном.
Стилер использует широкий набор инструментов для кражи данных
Исследователи отметили, что реализация на Python действует как широкомасштабный сборщик данных. Она собирает системную информацию, извлекает данные, хранящиеся в браузере, и получает сведения из коммуникационных платформ, включая Telegram и Discord. Дополнительные модули нацелены на конфигурации VPN, извлекают выбранные файлы с хоста и могут доставлять другие полезные нагрузки, что позволяет предположить, что сборка на Python предназначена для получения всеобъемлющего снимка машины жертвы, одновременно обеспечивая гибкие последующие действия.
В отличие от этого, вариант C++ концентрируется на активах, которые обеспечивают постоянство, боковое перемещение или монетизацию, выходящую за рамки простой кражи учетных данных. Исследователи обнаружили возможности, связанные с подключениями к протоколу удаленного рабочего стола (RDP), сбором файлов, связанных с играми, и функцией захвата экрана. Он также включает экстрактор данных браузера после эксплуатации под названием «ChromElevator».
В то время как версия на Python соответствует теории исследователей о подходе «схватил и беги», версия C++ намекает на планы по обеспечению постоянства. В раскрытии информации был добавлен список индикаторов компрометации (IOC), включая хеши файлов, IP-адреса и домены, для поддержки усилий по обнаружению.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma