Yeni Arkanix Stealer VPN Hesaplarını, Ekran Görüntülerini ve Wi-Fi Kimlik Bilgilerini Çalmak İçin Kullanıcılara Saldırıyor

   Aralık 2, 2025  Posted in CyberSecurityNews


Yeni Arkanix Stealer VPN Hesaplarını, Ekran Görüntülerini ve Wi-Fi Kimlik Bilgilerini Çalmak İçin Kullanıcılara Saldırıyor

Arkanix hırsızı, artık vahşi doğada yayılan yeni bir kötü amaçlı yazılım ailesidir. Günlük işler için VPN istemcilerine ve kablosuz ağlara bağımlı olan ev kullanıcılarını ve küçük ofisleri hedefler.

Etkinleştiğinde VPN hesap verilerini, Wi‑Fi profillerini, tarayıcı kimlik bilgilerini ve masaüstü ekran görüntülerini çalmaya odaklanır.

Bu, saldırganlara özel ağlara doğrudan erişim ve kurbanın ne yaptığına dair net bir görüş sağlar.

Erken saldırılarda basit ama etkili yemler kullanılır. Kurbanlar, sahte yazılım indirmeleri, kırılmış araçlar veya küçük bir yükleyiciyi düşüren e-posta bağlantıları aracılığıyla kandırılıyor.

Bu yükleyici daha sonra ana Arkanix yükünü uzak bir sunucudan çeker ve dikkat çekmeden çalıştırır.

Tüm zincir normal bir kurulumcu gibi görünecek şekilde tasarlanmıştır ve bu da rutin kullanıcı faaliyetlerine uyum sağlamasına yardımcı olur.

google

G Veri Siber Savunma güvenlik analistleri, yeni bilgi çalma kampanyalarına yönelik bir soruşturma sırasında Arkanix’i tespit etti.

Telemetrileri, saldırıların arkasında aynı kod tabanının kullanıldığı, Avrupa ve diğer bölgelerdeki sistemlerden VPN profillerinin ve Wi‑Fi anahtarlarının tekrar tekrar çalındığını gösterdi.

Daha ileri analizler, operatörlerin hedefleri tarayıcı verilerinden ekran görüntülerine veya diğer dosyalara hızla değiştirmesine olanak tanıyan modüler bir tasarımı ortaya çıkardı.

Arkanix yüklendikten sonra sistemi VPN yapılandırma dosyaları, parola depoları ve kayıtlı kablosuz profiller açısından tarar. Bunları tek bir arşive aktarır, aktif masaüstünden yeni ekran görüntüleri ekler ve ardından her şeyi bir komuta ve kontrol (C2) sunucusuna gönderir.

Web paneli giriş ekranı (Kaynak - G Verisi)
Web paneli giriş ekranı (Kaynak – G Verisi)

Ağ yakalamaları, bu hırsızlığı şifrelenmiş trafiğin içinde gizleyen ve fark edilmesini zorlaştıran giden HTTPS isteklerini gösteriyor.

Enfeksiyon zinciri ve veri hırsızlığı

Ana ikili dosya, veri toplamak için basit ama odaklanmış bir kod çalıştırır. Yaygın bir model, VPN ve Wi‑Fi verileri için bilinen yollarda yürüyen ve ardından bunları C2 uç noktasına gönderen bir döngüdür: –

for each(path in target_paths){
    grab_files(path);
}
take_screenshot();
upload_to_c2(zip_all());

Kötü amaçlı yazılım yazarı tarafından kullanılan bir yapılandırma paneli, Wi-Fi hırsızlığı veya ekran görüntüsü yakalama gibi hangi modüllerin çalıştığını kontrol eder.

Yapılandırma seçenekleri (Kaynak - G Verileri)
Konfigürasyon seçenekleri (Kaynak – G Verisi)

Bu eksiksiz teknik analiz, Arkanix’in doğrudan erişim için tasarlandığını gösteriyor: VPN hesaplarını çalın, Wi-Fi ağlarının haritasını çıkarın, ekranı izleyin ve ardından davetsiz misafirlerin çok az bir çabayla bu ortamlara girmesine izin verin.

Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.

googlehaberler



Source link