警惕!AI辅助开发的窃密木马Arkanix Stealer曝光:22款浏览器钱包无一幸免
导语:一款名为 Arkanix Stealer 的新型信息窃取恶意软件正在暗网大肆推广,更令人震惊的是——它是由AI辅助开发的。这款木马能窃取22款浏览器的加密货币钱包、VPN账号、社交平台凭证,甚至能绕过Chrome的加密保护。AI正在降低恶意软件的开发门槛。
一、事件概述:暗网新"明星"产品
2025年末,一款名为 Arkanix Stealer 的信息窃取恶意软件开始在多个暗网论坛推广。
据卡巴斯基研究人员分析,这款恶意软件疑似由大语言模型(LLM)辅助开发,代码中存在明显的AI生成痕迹。这不仅大幅缩短了开发周期,更让技术水平较低的网络犯罪分子也能制作出功能复杂的恶意软件。
攻击者甚至搭建了Discord服务器作为"售后支持",提供更新发布、功能反馈和技术帮助——俨然一副正规软件产品的运营姿态。
二、技术解剖:双版本架构
Arkanix 提供两个版本,满足不同"客户需求":
基础版(Python实现)
- 收集系统信息
- 窃取浏览器数据(历史记录、Cookie、密码、自动填充)
- 支持22款浏览器的加密货币钱包
- 窃取Telegram、Discord凭证
- 窃取Mullvad、NordVPN、ExpressVPN等VPN账号
高级版(原生C++)
在基础版之上增加:
- RDP凭证窃取
- 反沙箱、反调试检测
- 屏幕捕获(基于WinAPI)
- 游戏平台账号窃取(Epic Games、Battle.net、Steam等)
- ChromElevator工具:注入浏览器进程,绕过谷歌应用绑定加密(ABE),窃取用户凭证
三、惊人的数据窃取能力
浏览器与钱包
- 支持Chrome、Firefox、Edge等主流浏览器
- 针对22款加密货币钱包:MetaMask、Exodus、Trust Wallet、币安等
- 窃取OAuth2令牌
通讯与社交
- Telegram、Discord账号密码
- 通过Discord API自动传播,向好友发送恶意消息
文件与VPN
- 本地文件打包外传
- NordVPN、Mullvad、ProtonVPN等VPN账号
模块化扩展
可从C2服务器下载多种模块:
- Chrome信息窃取工具
- Exodus/Atomic钱包补丁
- 屏幕截图工具
- HVNC远程控制
- Steam、FileZilla等应用窃密模块
四、AI辅助开发的警示意义
卡巴斯基研究员指出:"代码中存在大语言模型(LLM)生成痕迹,这可能大幅降低了开发时间与成本。"
这意味着什么?
Arkanix与其说是一款隐蔽的窃密木马,更像是一款公开的商业软件产品。
五、企业防护建议
终端防护
- 部署EDR/终端安全软件,检测信息窃取行为
- 监控浏览器进程注入,特别是异常内存操作
- 限制PowerShell、cmd执行,除非必要
邮件与通讯安全
- 警惕Discord/Telegram传播的"工具"
- 不要下载来源不明的软件
- 即使看似正常的GitHub项目也要审查
加密货币安全
- 使用硬件钱包,避免浏览器插件存储私钥
- 启用多重签名
- 定期检查钱包授权
应急措施
- 如发现感染,立即更改所有账号密码
- 撤销浏览器保存的所有登录凭证
- 检查Discord/Telegram是否有异常消息发送记录
结语:AI双刃剑的另一面
AI在提升生产力的同时,也在降低犯罪门槛。Arkanix Stealer不是孤例,而是趋势的开始。
企业和个人必须提升安全意识:免费工具可能代价高昂,来历不明的软件可能是定时炸弹。
当AI成为黑客的"编程助手",我们的防御体系也必须随之升级——从被动防护转向主动检测,从单点防御转向全链路监控。
本文基于卡巴斯基安全研究报告整理,仅供参考。
官方
5.57K篇文章
177.55M总阅读量
