L’infostealer d’Arkanix combine le développement assisté par LLM avec un modèle de malware en tant que service, utilisant des implémentations bilingues pour maximiser la portée et établir la persistance.
Un infostealer récemment découvert, soupçonné d’avoir été construit à l’aide d’un grand modèle de langage, cible les victimes avec des variantes Python et C++, chacune adaptée à une étape différente du vol de données. Les chercheurs de Kaspersky ont découvert un voleur baptisé « Arkanix », capable de récupérer des informations d’identification, des données de navigateur, des cryptomonnaies et des actifs bancaires sur des machines infectées.
« Il collecte une grande quantité d’informations, y compris des données personnelles hautement sensibles », ont déclaré les chercheurs de Kaspersky dans un article du blog Securelist. « Bien qu’il soit tout à fait fonctionnel, il contient des traces probables de développement assisté par LLM, ce qui suggère qu’une telle assistance aurait pu réduire considérablement le temps et les coûts de développement. »
Arkanix exploite un modèle MaaS, permettant aux acteurs malveillants d’acheter l’accès au malware ainsi qu’un panneau de contrôle comportant des charges utiles et des statistiques configurables. En ce qui concerne l’assistance de l’IA, les chercheurs ont noté que les attaquants recherchent une campagne ponctuelle pour des gains financiers rapides plutôt qu’une infection à long terme.
Un malware bilingue très commercialisé
L’un des aspects clés d’Arkanix est sa conception bilingue, qui permet à ses abonnés de cibler à la fois les environnements basés sur Python et C++. L’implémentation Python est plus facile à modifier et à itérer rapidement, tandis que la version C++ est davantage axée sur les performances, la furtivité et une plus grande résistance à l’analyse.
Après l’infection initiale, que les chercheurs n’ont pas pu suivre et ont deviné avec une grande certitude qu’il s’agissait d’un phishing, le chargeur Python provient d’un point final contrôlé par un acteur, ce qui donne lieu à un implant configurable, avec les configurations par défaut prédéfinies dans le fichier de script. Les abonnés peuvent modifier la liste des fonctionnalités sur le panneau de contrôle, car le Stealer peut mettre à jour dynamiquement les fonctionnalités en effectuant des requêtes GET au commandement et contrôle d’Arkanix (C2).
La version native (C++) du voleur utilise également un domaine désigné comme C2, bien que certains échantillons de test observés et collectés utilisaient à la place un robot Discord. De plus, il inclut une journalisation étendue pour le débogage et implémente des contre-mesures d’analyse, telles que garantir que l’application n’est pas exécutée dans un bac à sable ou sous un débogueur.
La divulgation fait état d’une forte promotion du Stealer dans les espaces souterrains, à l’aide de nombreux supports marketing, de listes de fonctionnalités et d’infrastructures de support. Bien qu’elle ne soit pas inédite avec les modèles MaaS, une telle commercialisation manifeste du malware correspond à la compréhension des chercheurs selon laquelle la campagne est une opération ponctuelle avec un délai d’exécution rapide.
Mais certaines parties de l’analyse suggèrent le contraire.
Le voleur utilise une vaste boîte à outils de vol de données
Les chercheurs ont noté que l’implémentation de Python agit comme un collecteur de données à grande échelle. Il collecte des informations système, extrait les données stockées dans le navigateur et extrait les détails des plateformes de communication, notamment Telegram et Discord. Des modules supplémentaires ciblent les configurations VPN, récupèrent les fichiers sélectionnés de l’hôte et peuvent fournir d’autres charges utiles, ce qui suggère que la version Python est conçue pour rassembler un instantané complet d’une machine victime tout en permettant des actions de suivi flexibles.
En revanche, la variante C++ se concentre sur les actifs qui permettent la persistance, le mouvement latéral ou la monétisation au-delà du simple vol d’identifiants. Les chercheurs ont découvert des capacités liées aux connexions RDP (Remote Desktop Protocol), à la collecte de fichiers liés aux jeux et à la fonctionnalité de capture d’écran. Il comprend également un extracteur de données de navigateur post-exploitation, « ChromElevator ».
Alors que la version Python s’aligne sur la théorie des chercheurs sur une approche grab-and-run, la version C++ fait allusion à des projets de persistance. La divulgation a ajouté une liste d’indicateurs de compromission (IOC), notamment les hachages de fichiers, les adresses IP et les domaines, pour soutenir les efforts de détection.
