概要:急速に進化する情報窃取マルウェア「Arkanix」
新たに発見された情報窃取マルウェア「Arkanix」が急速に進化し、VPN認証情報、システム情報、無線ネットワークパスワードを含む機密性の高いユーザーデータを標的としています。セキュリティ研究者たちは、この新たな脅威を、盗んだデータの販売や直接的な認証情報の侵害を通じて迅速な金銭的搾取を目的とした、短命で利益重視のマルウェアと特定しました。
Arkanixの背後にいる脅威アクターは、初期開発からわずか1ヶ月以内に複数のプログラミング言語でマルウェアをリリースするなど、目覚ましい俊敏性を示しています。このマルウェアは、正規のツールを装ってDiscordチャンネルを通じて活発に配布されており、長期的な隠蔽性や高度な技術よりも迅速な収益化に重点を置いていることがうかがえます。
技術的詳細:PythonとC++の2つの亜種
Arkanixには、Pythonベースのバージョンと、より高度なC++実装の2つの異なる亜種が存在します。
- Pythonバージョン: NuitkaというPythonコンパイルツールを使用して配布されており、コードを自己完結型実行ファイルに変換します。実行時にPython環境を抽出し、メモリから悪意のあるペイロードを実行し、コマンド&コントロール(C2)サーバー(arkanix.pw)から追加のコードを取得します。
- C++バージョン: 脅威アクターのWebパネルで「プレミアム」オプションとして提供されており、VPNアカウントやSteam認証情報を窃取するための追加のプレミアム機能が含まれます。ArkanixのWebパネルへのアクセスには、Discordで配布される招待コードが必要であり、ここでオペレーターが顧客アカウントを管理し、盗んだデータを収集しています。
このインフラは、有料顧客を引き付けつつ、招待制のアクセスを通じて運用セキュリティを維持するように設計された、組織的な犯罪行為を示しています。
広範な窃取能力
Arkanixは、多種多様なChromiumベースのブラウザ(Chrome、Edge、Opera、Vivaldi、Tor、Yandexなど)からのデータ抽出をサポートしています。特に、MetaMask、Binance、Exodusなどの暗号ウォレットを含むブラウザ拡張機能データ収集を通じて、被害者の機密情報が侵害されます。また、ElectrumやEthereumウォレットなどの専用アプリケーションからもウォレット情報を収集します。
特筆すべきは、Arkanixが「netsh wlan show profiles」コマンドを実行してWi-Fi認証情報を窃取し、Windowsプロファイルに保存されている平文パスワードを抽出することです。VPNアカウントの詳細も、NordVPN、ExpressVPN、ProtonVPN、Mullvadなどの人気サービスから収集されます。
このマルウェアは、CPUやGPUの仕様、インストールされているアンチウイルスソフトウェア、タイムゾーンデータなど、偵察や標的型攻撃に有用な包括的なシステム情報を捕捉します。
C++亜種の高度な回避技術
C++亜種は、Chromeバージョン127で導入されたApp Bound Encryption(ABE)を具体的に標的とする洗練された回避技術を採用しています。このセキュリティメカニズムを迂回するために、マルウェアは「Chrome Elevator」というポストエクスプロイトツールを利用し、悪意のあるコードをChromeブラウザプロセスに直接注入します。
ブラウザのコンテキスト内で実行することで、注入されたコードはABEのID検証システムをトリガーすることなく、保護された認証情報を復号できます。また、C++バージョンは.RDPファイルからリモートデスクトッププロトコル(RDP)の認証情報も抽出し、攻撃者にさらなる横方向の移動能力を提供します。
脅威アクターは、検出回避の層を追加するために、すべてのペイロードにVMProtectによる難読化を適用しています。
ユーザーへの影響と対策
Arkanixの亜種の急速な開発と機能拡張は、脅威アクターの技術的専門知識と収益化へのコミットメントを示しています。ユーザーは、Discordや信頼できないソースからのダウンロードには極度の注意を払い、ブラウザとオペレーティングシステムが完全にパッチ適用されていることを確認し、暗号化に重点を置いたパスワードマネージャーの使用を検討する必要があります。
組織は、疑わしいプロセスインジェクションやメモリ実行活動を特定できるエンドポイント検出および対応(EDR)ソリューションを導入する必要があります。