Infostealer

G DATA warnt vor finanziellen Verlusten durch Infostealer Arkanix

, G DATA | Autor: Herbert Wieler

G DATA warnt vor finanziellen Verlusten durch Infostealer Arkanix

Fokus auf Browserdaten, WLAN-Log-ins und Krypto-Wallets

Das Analyseteam von G DATA CyberDefense hat einen neuen Datendieb entdeckt: Arkanix . Dieser Infostealer ist darauf ausgelegt, Kriminellen möglichst schnell Geld einzubringen. Verbreitet wird die Schadsoftware unter anderem über die Chat-Plattform Discord, wo sie als harmloses Tool getarnt oder in einschlägigen Online-Foren geteilt wird.

In den vergangenen Jahren ist die Zahl solcher Programme deutlich gestiegen. Cyberkriminelle nutzen gestohlene Daten entweder selbst – etwa für Betrug – oder verkaufen sie gewinnbringend weiter. Nun haben Expertinnen und Experten des Bochumer IT-Sicherheitsunternehmens Arkanix genauer unter die Lupe genommen. Auffällig: Die Malware wurde gleich in zwei Programmiersprachen, Python und C++, entwickelt.

„Wenn Kriminelle in kurzer Zeit Schadsoftware in verschiedenen Sprachen bauen, zeigt das, wie routiniert und erfahren sie inzwischen sind“, erklärt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. „Wir haben sofort passende Erkennungssignaturen bereitgestellt. Arkanix wird nun als Win64.Trojan-Stealer.Arkanix.B und Win64.Trojan-Stealer.Arkanix.C erkannt.“

Die Analyse offenbart, wie breit Arkanix angesetzt ist:

  • Er kopiert Informationen aus VPN- und Steam-Accounts,
  • erstellt Screenshots,
  • und liest WLAN-Zugangsdaten aus.

Die „Premium-Version“ bringt sogar eine Art „Support“-Funktion mit – ein bizarrer Trend, der zeigt, wie professionell solche Schadprogramme inzwischen vermarktet werden. Um die eigenen Spuren zu verwischen, verschleiern die Angreifer ihre Payloads mit VMProtect.

Arkanix kann Daten aus einer Vielzahl Chromium-basierter Browser stehlen, darunter Edge, Chrome, Opera, Vivaldi, Tor und Yandex. Auch Wallets wie Exodus, Electrum oder Ethereum sind betroffen. Zusätzlich durchsucht der Stealer die Ordner Desktop, Dokumente und Downloads nach Dateien mit bestimmten Endungen oder Schlüsselwörtern – und lädt alles Gefundene im Hintergrund auf den Server der Täter. Währenddessen laufen alle anderen Diebstahlaktionen weiter. Parallel wird eine zusätzliche Komponente nachgeladen, die speziell für das Abgreifen von Chrome-Daten entwickelt wurde.