Arkanix-Stealer im Fokus: Neue Malware zielt auf schnelle Geldgewinne
Warnung vor einer neuen Stealer-Malware namens Arkanix, die über Discord und einschlägige Foren verbreitet wird: Der Schadcode ist auf rasche finanzielle Gewinne ausgerichtet und stiehlt systematisch Zugangsdaten, Wallet-Informationen und Dateien. Auffällig ist die zweisprachige Entwicklung in Python und C++ – ein Hinweis auf professionelle Täterstrukturen.
Die Zahl der Schadprogramme, die sensible Informationen ausleiten, ist in den vergangenen Jahren deutlich gestiegen. Cyberkriminelle profitieren von diesen Daten entweder direkt, etwa durch den Zugriff auf Konten oder Wallets, oder indirekt durch deren Weiterverkauf. Das Analyseteam des Bochumer Sicherheitsunternehmens G DATA CyberDefense identifizierte nun eine weitere Variante: Arkanix. Diese Malware wird über die Plattform Discord als vermeintlich legitimes Werkzeug verbreitet oder in einschlägigen Online-Foren geteilt, wobei schnelle, kurzfristige finanzielle Bereicherung klar im Mittelpunkt steht.
Besonders bemerkenswert ist die technische Umsetzung. Arkanix liegt in Varianten vor, die sowohl in Python als auch in C++ entwickelt wurden. „Dass die Cyberkriminellen innerhalb kurzer Zeit verschiedene Malware in unterschiedlichen Programmiersprachen erstellen, deutet darauf hin, dass sie bereits erhebliche Vorerfahrungen bei der Entwicklung und Umsetzung von Cyberattacken haben“, so Tim Berghoff, Security Evangelist bei G DATA CyberDefense. ”Wir haben sofort entsprechende Signaturen bereitgestellt. Die Malware wird erkannt als Win64.Trojan-Stealer.Arkanix.B und Win64.Trojan-Stealer.Arkanix.C.“
Breites Zielspektrum: Konten, Wallets, Browser und lokale Dateien
Die detaillierte Analyse zeigt, dass Arkanix eine Vielzahl sensibler Daten ins Visier nimmt. Die Malware kopiert Informationen aus VPN-Zugängen sowie aus Steam-Accounts, erstellt automatisiert Bildschirmaufnahmen und leitet WLAN-Zugangsdaten aus. Auffällig ist zudem eine optionale „Premium-Version“ der Malware, die sogar eine Support-Funktion für Kriminelle bereithält – ein Hinweis auf zunehmend professionalisierte Malware-Ökosysteme.
Ein weiteres technisches Merkmal ist der Einsatz von VMProtect zur Verschleierung der Payloads. Die Malware ist darüber hinaus in der Lage, aus zahlreichen Chromium-basierten Browsern Daten zu extrahieren, darunter Edge, Chrome, Opera, Vivaldi, Tor und Yandex. Wallet-Informationen aus Anwendungen wie Exodus, Electrum oder Ethereum gehören ebenfalls zum Zielprofil.
Arkanix durchsucht zudem die Nutzerordner Desktop, Dokumente und Downloads nach Dateien mit bestimmten Endungen und Schlüsselwörtern. Sämtliche Treffer werden asynchron an die Server der Angreifer übertragen, während alle übrigen Diebstahlprozesse im Hintergrund weiterlaufen. Zusätzlich lädt die Malware eine weitere Payload nach, die speziell für das Sammeln von Daten aus Chrome vorgesehen ist.
Professionalisierung und steigende Bedeutung von Stealer-Ökosystemen
Die parallele Nutzung zweier Programmiersprachen, die Integration von Support-Funktionen und der modulare Aufbau lassen erkennen, dass die Betreiber von Arkanix über tiefgehende Erfahrung in der Entwicklung cyberkrimineller Werkzeuge verfügen. Das Geschäftsmodell solcher Stealer-Malware bleibt dabei einfach: Je mehr Zugangsdaten, Wallets oder Dateien kompromittiert werden, desto größer sind die unmittelbaren Profite, die sich aus Kontoübernahmen, Kryptowährungsdiebstählen oder Datenverkäufen ergeben.
Gleichzeitig verdeutlicht der Fall Arkanix, wie niedrigschwellig die Verbreitungswege inzwischen sind. Plattformen wie Discord dienen als schnelle Distributionskanäle, in denen die Malware als vermeintlich legitimes Hilfswerkzeug verpackt wird. Dadurch steigt das Risiko, dass technisch weniger versierte Nutzende Schadsoftware unwissentlich ausführen.
Konsequenzen für Sicherheitsverantwortliche
Arkanix reiht sich in eine stetig wachsende Familie von Stealer-Typen ein, die auf modularen Architekturen, effektiver Tarnung und breiter Datensammlung basieren. Für Sicherheitsteams bedeutet dies eine erhöhte Notwendigkeit, Signaturen und verhaltensbasierte Erkennungen aktuell zu halten, den Datenabfluss engmaschig zu überwachen und die Nutzung privater Werkzeuge auf Plattformen wie Discord im Unternehmenskontext kritisch zu beurteilen.
Die vollständige technische Analyse bietet das Unternehmen auf dem eigenen Security-Blog an.
Tim Berghoff, Security Evangelist bei G DATA CyberDefense. In seiner Position bei G DATA bildet er die Schnittstelle zwischen technischer Komplexität und dem Anwender.
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
