Arkanix Stealerと呼ばれる新しいマルウェアファミリーがDiscordやオンラインフォーラムを通じて急速に拡散しており、サイバー犯罪者に認証情報、暗号通貨ウォレット、システムデータなどを収集するための即戦力となるツールを提供しています。
登場からわずか1か月ほどにもかかわらず、Arkanixは単純なPythonベースのツールから、完全な機能を備えたC++製インフォスティーラーへとすでに進化しており、積極的な開発と短期的な金銭的利益を目指していることが研究者により指摘されています。
「このマルウェアは、さまざまなChromiumベースのブラウザから情報を収集することをサポートしています」とG Dataの研究者は述べています。
Arkanix Stealerの拡散方法と窃取対象
Arkanixは、一見無害に見えるファイルとしてDiscordサーバーやコミュニティフォーラムで共有され、配布されます。
一度実行されると、マルウェアはブラウザデータ、暗号通貨ウォレット情報、システムメタデータ、VPN認証情報、機密パターンに一致するファイルなどを収集できます。
運営者はDiscord経由で取得できる招待コードによってアクセスできるPremiumティアを提供しており、これにはC++ペイロード、Steamアカウント窃取、Wi-Fi認証情報の収集、スクリーンショット取得、追加サポート機能が含まれます。
ウェブパネル内では、攻撃者が被害者や窃取データをリアルタイムで追跡でき、パスワード、ウォレット、クッキー、Discordトークン、Telegramセッション、その他の高価値アイテムの件数も確認できます。
PremiumビルドはVMProtectで難読化されており、従来のアンチウイルスやサンドボックスによる検知を回避します。
マルウェアバージョンの詳細
Pythonバージョン
最初のArkanixビルドはPythonで記述され、Nuitkaでパッケージ化されていました。Nuitkaはコンパイル済みのPythonバイトコードとポータブルなPython環境をまとめます。
起動されると、ローダーはhxxps://arkanix[.]pw/stealer[.]py から本物の悪意あるスティーラースクリプトを取得し、有効なトークンが供給された場合にメモリ上で直接実行します。
- ブラウザ履歴、自動入力データ、保存されたクレジットカード情報
- 暗号通貨ブラウザ拡張機能(例:MetaMask、ExodusWeb3、Binance、Oxygen)
- デスクトップ、ドキュメント、ダウンロードのファイル収集
- netshによるWi-Fiプロファイルのダンプ
- NordVPN、Mullvad、ExpressVPN、ProtonVPNからのVPN認証情報
- Discordトークンの窃取およびDMやチャンネル経由での自己拡散(オプション)
収集されたすべてのデータは、hxxps://arkanix[.]pw/deliveryなどのエンドポイントを通じて攻撃者のインフラにアップロードされます。
C++バージョン
新しいC++バリアントは、より高度な機能を示しています。ChromeのApp-Bound Encryption(ABE)は、1つのアプリが他のアプリのブラウザデータを復号するのを防ぐために設計されています。
これを回避するために、ArkanixはChrome Elevatorというポストエクスプロイトツールを使用し、悪意のあるコードをChromeプロセスに直接注入して、Chrome、Edge、Braveからクッキーや認証情報を復号できるようにします。
- .rdpファイルによるRDP接続情報の収集
- ネイティブランタイムでのウォレット、クッキー、認証情報の抽出
- ユーザーエージェントArkanixStealer/2.0を用いたhxxps://arkanix[.]pw/api/upload/directへの直接データアップロード
Pythonバージョンとは異なり、このバリアントにはDiscordによる自己拡散機能は分析されたサンプルには含まれていません。
Arkanix Stealerから組織を守るには
Arkanix Stealerは、現代のインフォスティーラーがブラウザ、認証情報、開発者システムを標的にして、いかに迅速に組織へ侵入できるかを示しています。
これらの攻撃はしばしば信頼されたツールや日常的なコミュニケーションチャネルを通じて拡散するため、セキュリティチームは多層防御戦略を採用する必要があります。
- 疑わしいDiscord経由のファイルに対してエンドポイントを監視し、署名のないまたは未知のバイナリの実行をブロックする
- ローカル認証情報の保存を制限し、強力なパスワードポリシーを徹底し、ブラウザや拡張機能を常に最新に保つことでブラウザを強化する
- ネットワークトラフィックやDNSログを監視し、既知のArkanixインフラやその他の疑わしいビーコン通信への外部接続を検知する
- 漏洩した認証情報、VPN設定、トークンを即座にローテーションし、すべての開発者・ユーザー端末で強力な鍵管理を徹底する
- ユーザー権限を制限し、開発者ワークステーションなどの高リスクシステムを分離することで最小権限とセグメンテーションを適用する
- EDR、SIEM、行動分析を活用して、プロセスインジェクション、認証情報アクセス試行、異常なブラウザデータアクセスを検知・ブロックする
- 信頼できないツールやDiscord経由で共有された実行ファイル、その他の一般的なインフォスティーラー配布経路を避けるためのエンドユーザーおよび開発者向けセキュリティ教育を強化する
これらの対策を活用することで、組織はサイバー・レジリエンスを高めることができます。
コモディティマルウェアの急速な進化
Arkanix Stealerは、サイバー犯罪エコシステムの大きな変化を反映しています。脅威アクターは、Discordのようなプラットフォームを利用してバイヤーを集め、ペイロードを大規模に配布し、短期間で高いインパクトを持つマルウェアを急速に生み出し、素早い収益化を目指しています。
PythonとC++の二重実装により、柔軟な配布とネイティブレベルのステルス性を組み合わせており、コモディティマルウェア開発者の高度化が進んでいることを示しています。
これらの傾向は、スピード、適応性、クロスプラットフォーム対応が現代のインフォスティーラーの中核的な特徴となり、地下経済がますますプロフェッショナル化していることを示しています。
これらの傾向は、ゼロトラスト原則が現代のセキュリティプログラムにとってますます重要になっている理由を浮き彫りにしています。
