تسللت عائلة برمجيات خبيثة جديدة تُعرف باسم “أركانيكس ستيلر” (Arkanix stealer) إلى الفضاء الرقمي، مستهدفة بشكل خاص المستخدمين المنزليين والشركات الصغيرة التي تعتمد على اتصالات الشبكة الافتراضية الخاصة (VPN) والشبكات اللاسلكية في أعمالها اليومية. وتُركز هذه البرمجيات الخبيثة على سرقة بيانات حسابات VPN، وملفات تعريف شبكات Wi-Fi، وبيانات اعتماد المتصفحات، بالإضافة إلى التقاط لقطات شاشة لسطح المكتب. يتيح ذلك للقائمين بالهجوم الوصول المباشر إلى الشبكات الخاصة وفهم أنشطة المستخدمين المستهدفين.
تبدأ الهجمات باستخدام أساليب خداع بسيطة لكنها فعالة، حيث يتم استدراج الضحايا عبر تنزيلات برامج مزيفة، أو أدوات مقلدة، أو روابط بريد إلكتروني تؤدي إلى تحميل برنامج صغير يعمل كـ “محمل” (loader). يقوم هذا المحمل بسحب الحمولة الرئيسية لبرنامج Arkanix من خادم بعيد وتشغيلها دون لفت الانتباه، مما يجعل عملية العدوى تبدو وكأنها تثبيت طبيعي لبرنامج.
اكتشاف Arkanix stealer وتطوراته
تمكن محللو الأمن السيبراني في G Data Cyber Defense من اكتشاف Arkanix خلال تحقيقهم في حملات سرقة المعلومات. وأظهرت بياناتهم تكرار سرقة ملفات تعريف VPN ومفاتيح Wi-Fi من أنظمة في أوروبا ومناطق أخرى، مع وجود نفس قاعدة الكود البرمجي وراء هذه الهجمات.
كشفت التحليلات الإضافية عن تصميم معياري للبرنامج، مما يتيح للمشغلين تبديل أهدافهم بسرعة، سواء كانت بيانات المتصفح، أو لقطات الشاشة، أو أنواع أخرى من الملفات. بمجرد تفعيله، يقوم Arkanix بمسح النظام بحثًا عن ملفات تكوين VPN، ومخازن كلمات المرور، وملفات تعريف Wi-Fi المحفوظة، ثم يقوم بتجميعها في أرشيف واحد، وإضافة لقطات شاشة حديثة لسطح المكتب النشط، ويرسل كل ذلك إلى خادم القيادة والتحكم (C2).
آلية العدوى وعملية سرقة البيانات
تعتمد آلية عمل Arkanix على تنفيذ تعليمات برمجية بسيطة لكنها مركزة لجمع البيانات. تشمل هذه الآلية حلقة تكرارية تخترق المسارات المعروفة لبيانات VPN و Wi-Fi، ثم ترسلها إلى نقطة النهاية الخاصة بخادم القيادة والتحكم. وتظهر عمليات التقاط حركة مرور الشبكة طلبات HTTPS خارجية تخفي عملية السرقة داخل حركة مشفرة، مما يزيد من صعوبة كشفها.
يتحكم لوحة إعدادات خاصة يستخدمها مطورو البرنامج الخبيث في وحدات Arkanix التي تعمل، مثل سرقة بيانات Wi-Fi أو التقاط لقطات الشاشة. يهدف هذا التصميم الشامل إلى تمكين الوصول المباشر، من خلال سرقة حسابات VPN، ورسم خرائط لشبكات Wi-Fi، ومراقبة الشاشة، مما يسهل على المتسللين الانتقال إلى تلك البيئات بأقل جهد.