一款名为Arkanix Stealer的信息窃取恶意软件于2025年末在多个暗网论坛进行推广。据分析,该恶意软件疑似由AI辅助开发,更像是一次技术实验。而其包含控制面板及用于与用户沟通的Discord服务器在运营仅两个月后,作者便在未发出任何通知的情况下将其下线。
Arkanix提供了网络犯罪分子常用的多项标准数据窃取功能,同时具备模块化架构与抗分析能力。卡巴斯基研究人员在分析后发现,多项线索表明该窃密木马由大语言模型(LLM)辅助开发,这“可能大幅降低了开发时间与成本”。
代码中存在大语言模型(LLM)生成痕迹
研究人员认为,Arkanix属于生命周期较短、旨在快速牟利的项目,这类特性使其更难被检测与追踪。
Arkanix于2025年10月开始在黑客论坛推广,向潜在客户提供两个版本:
·基础版:基于Python实现
·高级版:采用原生C++编写载荷,使用VMProtect加壳,集成免杀与钱包注入功能
Arkanix在黑客论坛上受到推广
开发者搭建了Discord服务器,作为项目社区交流平台,用于发布更新、收集功能反馈并提供技术支持。
该恶意软件还推出了推广奖励计划:推荐人可额外获得一小时高级版免费使用时长,新用户则可免费体验一周高级版。
控制面板内的推广推荐选项
Arkanix恶意软件可收集系统信息,窃取浏览器存储的数据(历史记录、自动填充信息、Cookie、密码),并支持从22 款浏览器中提取加密货币钱包数据。卡巴斯基指出,该木马还可在基于Chromium内核的浏览器中窃取OAuth2令牌。
此外,该恶意软件可窃取Telegram、Discord账号凭证,通过Discord API传播,并向受害者的好友或频道发送消息。
Arkanix还针对Mullvad、NordVPN、ExpressVPN、ProtonVPN等VPN工具的账号密码,可将本地文件打包并异步外传。
从命令与控制(C2)服务器可下载的扩展模块包括:Chrome信息窃取工具、Exodus/Atomic钱包补丁工具、屏幕截图工具、HVNC以及针对FileZilla、Steam的窃密模块。
部分受攻击的加密货币扩展列表
高级原生C++ 版额外增加以下能力:
·RDP凭证窃取
·反沙箱、反调试检测
·基于WinAPI的屏幕捕获
·针对Epic Games、Battle.net、Riot、Unreal Engine、Ubisoft Connect、GOG等平台的账号窃取
高级版还会投放后渗透工具ChromElevator,该工具注入挂起的浏览器进程实施数据窃取,可绕过谷歌应用绑定加密(ABE)保护,非法获取用户账号凭证。
目前,Arkanix窃密项目的实验目的尚不明确。但该项目验证了大语言模型能在很大程度上提升恶意软件开发效率,以及新功能可以很快交付这一事实。卡巴斯基评价称,Arkanix与其说是一款隐蔽的窃密木马,更像是一款公开的软件产品。
参考及来源:https://www.bleepingcomputer.com/news/security/arkanix-stealer-pops-up-as-short-lived-ai-info-stealer-experiment/
热门跟贴