Arkanix インフォスティーラーは LLM 支援開発とマルウェア・アズ・ア・サービス(MaaS)モデルを組み合わせ、二言語実装を使用してリーチを最大化し、永続性を確立する。
大規模言語モデルの支援を受けて構築されたと思われる新たに発見されたインフォスティーラーが、Python と C++ のバリエーションでターゲットを狙い、それぞれデータ窃盗の異なるステージに対応している。Kaspersky の研究者は「Arkanix」と呼ばれるスティーラーを発見し、これは感染したマシンから認証情報、ブラウザーデータ、暗号資産、バンキング資産を収集する能力を持つ。
「それは個人情報を含む膨大な量の情報を収集する」と Kaspersky の研究者は Securelist ブログポストで述べた。「かなり機能的である一方で、LLM 支援開発の疑わしい痕跡が含まれており、そのような支援により開発時間とコストが大幅に削減された可能性があることを示唆している。」
Arkanix は MaaS モデルで動作し、悪意のある行為者がマルウェアへのアクセスと設定可能なペイロードおよび統計情報を備えたコントロールパネルを購入することを可能にしている。AI 支援を活用することは、研究者が指摘したように、攻撃者が長期実行感染ではなく迅速な金銭的利益を得るためのワンショットキャンペーンを狙っていることを示している。
大々的にマーケティングされている二言語マルウェア
Arkanix の主な側面の 1 つは、その二言語設計であり、購読者が Python と C++ ベースの両方の環境をターゲットにすることを可能にしている。Python 実装はより簡単に修正および迅速に反復できるのに対し、C++ ビルドはパフォーマンス、ステルス、および分析に対する強い耐性に焦点を当てている。
初期感染後(研究者が追跡できず、フィッシングである高い可能性で推定)、Python ローダーはアクター制御エンドポイントから来た。これにより、設定可能なインプラントがもたらされ、デフォルト設定はスクリプトファイル内に事前定義されている。購読者はコントロールパネルでフィーチャーリストを修正できる。ステーラーが Arkanix のコマンド & コントロール(C2)に GET リクエストを行うことで動的にフィーチャーを更新できるからである。
ステーラーのネイティブ(C++)バージョンも、C2 として指定されたドメインを使用するが、観察された一部のテストサンプルは代わりに Discord ボットを使用していた。さらに、デバッグ用の広範なログを含み、アプリケーションがサンドボックス内で実行されたり、デバッガーの下で実行されたりしていないことを確認するなどの分析対策を実装している。
開示は、地下ネットワーク空間でのステーラーの大々的なプロモーションを指摘し、広範なマーケティング資料、フィーチャーリスト、および支援インフラを使用している。MaaS モデルでは見られないわけではないが、このような露骨なマルウェアのマーケティングは、研究者がキャンペーンが迅速なターンアラウンドのためのワンオフ操作であるという理解と一致している。
しかし、分析の一部は別のことを示唆している。
ステーラーは広範なデータ盗難ツールキットを採用している
研究者は、Python 実装が広範なデータハーベスターとして機能することに注目した。システム情報を収集し、ブラウザーに保存されたデータを抽出し、Telegram や Discord を含む通信プラットフォームから詳細を取得する。追加モジュールは VPN 設定をターゲットにし、ホストから選択されたファイルを取得し、他のペイロードを配信することができ、Python ビルドが被害者マシンの包括的なスナップショットを収集し、柔軟なフォローアップアクションを可能にするために設計されていることを示唆している。
対照的に、C++ バリアントは単純な認証情報盗難を超えて永続性、ラテラルムーブメント、または収益化を可能にするアセットに集中する。研究者はリモートデスクトッププロトコル(RDP)接続、ゲーム関連ファイルの収集、およびスクリーンキャプチャ機能に関連する機能を発見した。また、「ChromElevator」というポスト悪用ブラウザーデータエクストラクターも含まれている。
Python バージョンは研究者のグラブ・アンド・ラン・アプローチの理論と一致しているが、C++ バージョンは永続性の計画を示唆している。開示は、検出の取り組みをサポートするために、ファイルハッシュ、IP、およびドメインを含む侵害の指標(IOC)のリストを追加した。
