نسل جدید بدافزار Arkanix، تهدیدی پیشرفته در حوزه Infostealerها است که با بهرهگیری از هوش مصنوعی (LLM) و مدل Malware-as-a-Service (MaaS)، امکان جمعآوری سریع و هدفمند دادهها را فراهم میکند.
این بدافزار در دو نسخه Python و C++ توسعه یافته است و توانایی سرقت اعتبارنامهها، دادههای مرورگر، داراییهای بانکی و رمزارزی دارد.
به گفته محققان کسپرسکی:
«Arkanix حجم وسیعی از اطلاعات حساس را جمعآوری میکند و در آن شواهدی از توسعه با کمک LLM مشاهده شده است. این موضوع نشان میدهد که استفاده از هوش مصنوعی به طور قابلتوجی زمان و هزینه تولید بدافزار را کاهش داده است.»
Arkanix و مدل MaaS؛ تجاریسازی هوشمند بدافزار
Arkanix تحت مدل Malware-as-a-Service فعالیت میکند و به مهاجمان امکان دسترسی به ابزارهای پیشرفته حمله را میدهد، از جمله:
- بدافزار قابل تنظیم با پیلودهای متنوع
- پنل مدیریتی پیشرفته برای انتخاب و تغییر ویژگیها
- ثبت لاگ و آمار دقیق از قربانیان و فعالیتهای بدافزار
این ساختار نشان میدهد که طراحان بدافزار، کمپینهای کوتاهمدت با بازگشت سرمایه سریع را هدف قرار دادهاند و نه عملیات ماندگار طولانیمدت.
طراحی دو زبانه Arkanix؛ انعطافپذیری و پایداری همزمان
Arkanix با معماری Python و C++ امکان:
- Python: جمعآوری سریع و گسترده دادهها
- C++: حضور بلند مدت، عملیات مخفی و مقاومت در برابر تحلیل
را فراهم میکند. این طراحی باعث میشود بدافزار هم انعطافپذیر باشد و هم بتواند در شبکه قربانی حضور طولانی داشته باشد.
نسخه Python؛ جمعآوری سریع و گسترده دادهها
نسخه Python نقش یک لودر و جمعآوریکننده گسترده داده را ایفا میکند و تواناییهای زیر را دارد:
- جمعآوری کامل اطلاعات سیستم و سختافزار
- استخراج دادههای ذخیرهشده در مرورگر
- دریافت و استخراج اطلاعات از پلتفرمهای ارتباطی مانند تلگرام و دیسکورد (Discord)
- استخراج پیکربندیهای VPN
- دانلود فایلهای انتخابی از سیستم قربانی
- دریافت ماژولها و قابلیتهای اضافی از C2
نسخه Python میتواند ویژگیها و ماژولهای خود را بهصورت پویا از طریق درخواستهای GET به سرور C2 بهروزرسانی کند و این امکان را برای مهاجمان فراهم میکند تا به سرعت تغییرات لازم برای جمعآوری دادهها و حمله را اعمال کنند.
نسخه C++ ؛ پایداری، عملیات مخفی و مقاومت در برابر تحلیل
نسخه native (بومی) C++ بیشتر بر حضور بلندمدت و عملیات مخفی تمرکز دارد و ویژگیهای زیر را ارائه میدهد:
- حفظ پایداری و حضور طولانی در سیستم قربانی
- مقاومت در برابر تحلیل در Sandbox و Debugger
- ثبت لاگهای گسترده برای تحلیل و بررسی فعالیتها
- استفاده از دامنه اختصاصی بهعنوان C2 (در برخی نمونهها از بات دیسکورد نیز استفاده شده است)
قابلیتهای اضافی نسخه C++ شامل:
- سوءاستفاده از RDP برای دسترسی از راه دور
- استخراج فایلهای مرتبط با بازیها
- گرفتن اسکرینشات از صفحه نمایش
- ابزار استخراج داده مرورگر پس از نفوذ (ChromElevator)
این قابلیتها نشان میدهند که نسخه C++ برخلاف نسخه Python که با رویکرد «جمعآوری سریع و خروج فوری» (grab-and-run) عمل میکند، برای حفظ حضور بلندمدت و نفوذ پایدار در شبکه قربانی طراحی شده است.
شواهد استفاده از LLM در توسعه Arkanix؛ ظهور تهدیدات هوشمند
تحلیل کد نشان میدهد که بخشهایی از بدافزار Arkanix احتمالاً با کمک LLM توسعه یافته است. بهرهگیری از هوش مصنوعی در تولید بدافزار، قابلیتهای زیر را فراهم میکند:
- کوتاه شدن چرخه تولید و توسعه سریعتر بدافزار
- کاهش نیاز به مهارت عمیق برنامهنویسی برای طراحی تهدیدات پیچیده
- ورود مهاجمان تازهکار و ناآشنا به اکوسیستم جرایم سایبری با ابزارهای آماده
در نتیجه، تهدیدات هوشمند مبتنی بر AI سریعتر و دسترسیپذیرتر از گذشته در حال تکامل هستند.
شاخصهای فنی و IOCها
محققان یک فهرست جامع از شاخصهای فنی تهدید (IOCs) منتشر کردهاند تا به تیمهای امنیتی و تحلیلگران بدافزار در شناسایی و مقابله با Arkanix کمک کند. این فهرست شامل:
- هش فایلها (File Hashes)
- آدرسهای IP مرتبط با سرورهای C2
- دامنههای فرماندهی و کنترل (C2 Domains)
استفاده از این شاخصها به پیشگیری، شناسایی سریع و تحلیل دقیق تهدیدات در شبکههای سازمانی کمک میکند.
جمعبندی تهدید و اهمیت امنیتی Arkanix
بدافزار Arkanix نمونهای روشن از ترکیب هوش مصنوعی، مدل تجاری MaaS و طراحی دو زبان Python و C++ است که حداکثر اثربخشی حمله و نفوذ در سیستم قربانی را ممکن میسازد.
- نسخه Python با رویکرد grab-and-run برای کمپینهای کوتاهمدت و سریع بهینه شده است.
- نسخه C++ برخلاف نسخه Python، حضور بلندمدت، حرکت جانبی و بهرهبرداری مداوم از منابع قربانی را ممکن میکند.
این تهدید نشاندهنده نسل جدید بدافزارهای هوشمند مبتنی بر AI است که برای مهاجمان امکان توسعه سریع، ارزان و دسترسی آسان را فراهم میکند.
