Das Analyseteam von G DATA CyberDefense hat einen neuen Stealer namens Arkanix identifiziert. Diese Schadsoftware zielt auf schnelle, kurzfristige finanzielle Gewinne ab. Über die Plattform Discord wird Arkanix als legitimes Tool oder in Online-Foren geteilt.
Die Zahl der Schadprogramme, mit denen Informationen gestohlen werden, hat in den letzten Jahren zugenommen. Cyberkriminelle bereichern sich mit den gestohlenen Daten entweder direkt oder indirekt durch deren Verkauf an andere Kriminelle. Kürzlich haben Fachleute des Bochumer IT-Sicherheitsunternehmens einen neuen Stealer namens Arkanix identifiziert, der auf schnelle, finanzielle Gewinne für die Cyberkriminellen ausgerichtet ist. Die Malware wird auf der Chat-Plattform Discord als legitimes Tool oder in Online-Foren geteilt. Auffällig ist, dass die Schadsoftware in zwei Programmiersprachen (Python und C++) entwickelt worden ist.
„Dass die Cyberkriminellen innerhalb kurzer Zeit verschiedene Malware in unterschiedlichen Programmiersprachen erstellen, deutet darauf hin, dass sie bereits erhebliche Vorerfahrungen bei der Entwicklung und Umsetzung von Cyberattacken haben“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. „Wir haben sofort entsprechende Signaturen bereitgestellt. Die Malware wird erkannt als Win64.Trojan-Stealer.Arkanix.B und Win64.Trojan-Stealer.Arkanix.C.“
Eine detaillierte Analyse hat gezeigt, dass Arkanix Informationen von VPN- und Steam-Accounts kopiert, Screenshots erstellt sowie WLAN-Zugangsdaten ausleitet. Die „Premium-Version“ der Schadsoftware bietet auch eine „Support“-Funktion. Die Angreifer verschleiern ihre Payloads mit VMProtect. Die Malware unterstützt das Sammeln von Informationen aus zahlreichen Chromium-basierten Browsern, darunter Edge, Chrome, Opera, Vivaldi, Tor und Yandex. Auch Wallet-Daten aus Exodus, Electrum, Ethereum und einigen weiteren Anwendungen werden gestohlen. Der Stealer durchsucht die Ordner Desktop, Dokumente und Downloads nach Dateien mit vordefinierten Endungen und bestimmten Schlüsselwörtern im Dateinamen. Gefundene Dateien werden asynchron auf den Server der Kriminellen hochgeladen, während die übrigen Diebstahl-Aktivitäten weiterlaufen. Zusätzlich wird eine weitere Payload zum Sammeln von Chrome-Daten nachgeladen.
Eine detaillierte Analyse finden Interessierte auf dem Security Blog von G DATA.
Die Zahl der Schadprogramme, mit denen Informationen gestohlen werden, hat in den letzten Jahren zugenommen. Cyberkriminelle bereichern sich mit den gestohlenen Daten entweder direkt oder indirekt durch deren Verkauf an andere Kriminelle. Kürzlich haben Fachleute des Bochumer IT-Sicherheitsunternehmens einen neuen Stealer namens Arkanix identifiziert, der auf schnelle, finanzielle Gewinne für die Cyberkriminellen ausgerichtet ist. Die Malware wird auf der Chat-Plattform Discord als legitimes Tool oder in Online-Foren geteilt. Auffällig ist, dass die Schadsoftware in zwei Programmiersprachen (Python und C++) entwickelt worden ist.
„Dass die Cyberkriminellen innerhalb kurzer Zeit verschiedene Malware in unterschiedlichen Programmiersprachen erstellen, deutet darauf hin, dass sie bereits erhebliche Vorerfahrungen bei der Entwicklung und Umsetzung von Cyberattacken haben“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. „Wir haben sofort entsprechende Signaturen bereitgestellt. Die Malware wird erkannt als Win64.Trojan-Stealer.Arkanix.B und Win64.Trojan-Stealer.Arkanix.C.“
Eine detaillierte Analyse hat gezeigt, dass Arkanix Informationen von VPN- und Steam-Accounts kopiert, Screenshots erstellt sowie WLAN-Zugangsdaten ausleitet. Die „Premium-Version“ der Schadsoftware bietet auch eine „Support“-Funktion. Die Angreifer verschleiern ihre Payloads mit VMProtect. Die Malware unterstützt das Sammeln von Informationen aus zahlreichen Chromium-basierten Browsern, darunter Edge, Chrome, Opera, Vivaldi, Tor und Yandex. Auch Wallet-Daten aus Exodus, Electrum, Ethereum und einigen weiteren Anwendungen werden gestohlen. Der Stealer durchsucht die Ordner Desktop, Dokumente und Downloads nach Dateien mit vordefinierten Endungen und bestimmten Schlüsselwörtern im Dateinamen. Gefundene Dateien werden asynchron auf den Server der Kriminellen hochgeladen, während die übrigen Diebstahl-Aktivitäten weiterlaufen. Zusätzlich wird eine weitere Payload zum Sammeln von Chrome-Daten nachgeladen.
Eine detaillierte Analyse finden Interessierte auf dem Security Blog von G DATA.
