hacker-1500894_1280.jpg

Stealer mira VPN e Wi‑Fi para invadir redes

Arkanix Stealer rouba contas de VPN, Wi‑Fi e credenciais de navegador para dar acesso direto à rede da vítima.

Como o Arkanix infecta

O Arkanix é um stealer recente, visto em campanhas que miram usuários domésticos e pequenos escritórios que dependem de VPN e Wi‑Fi para trabalho diário. A infecção começa com iscas simples: downloads falsos de software, cracks e links em e‑mails que entregam um pequeno loader, o qual baixa o payload principal de um servidor remoto e o executa disfarçado de instalador legítimo.

O que o malware coleta

Uma vez ativo, o stealer procura perfis e configs de VPN, perfis Wi‑Fi, cofres de senha e bancos de dados de navegadores (histórico, autofill, cartões, cookies), além de tirar capturas de tela da área de trabalho. Ele empacota tudo em um único arquivo (ZIP) e envia via HTTPS para o servidor de C2, escondendo o roubo dentro de tráfego criptografado comum.

Foco em VPN e Wi‑Fi

Telemetria da G DATA mostra repetidos roubos de perfis de VPN e chaves Wi‑Fi em sistemas da Europa e de outras regiões, indicando que o objetivo é obter acesso direto a redes privadas, inclusive corporativas acessadas de casa. O malware usa comandos como netsh wlan show profiles com key=clear para extrair senhas de redes sem fio salvas, e lê arquivos de configuração de clientes VPN populares.

Painel e modelo de serviço

O Arkanix é vendido em modelo MaaS, com painel web acessível só por convite, distribuído via canais privados no Discord. Há versões “Premium” em C++ com recursos adicionais (roubo de contas VPN, Steam, Wi‑Fi, screenshots) e serviços de ofuscação com VMProtect para ajudar a driblar antivírus.

Como se proteger

  • Evitar instalar cracks e “ativadores” e sempre baixar software de sites oficiais.
  • Proteger arquivos de configuração de VPN e usar senhas fortes/2FA nas contas remotas.
  • Rotacionar senhas de Wi‑Fi e VPN se houver suspeita de infecção e verificar dispositivos conectados à rede.
  • Manter sistema e soluções de segurança atualizados e monitorar conexões HTTPS suspeitas para domínios de C2 conhecidos do Arkanix.

Informações e Sugestões do Gemini para Mitigação

Tática MITRE ATT&CK UtilizadaTécnica (ID)IoC/TTP EspecíficoRegra de SIEM Sugerida
Acesso Inicial / ExecuçãoT1566 (Phishing) / T1204.002 (Execução por Usuário)Inicialização através de downloads falsos de cracks/software ou links em e-mails que entregam um loader (payload stage 1).Regra: Alerta se um executável (e.g., .exe, .dll) recém-criado em um diretório temporário (%TEMP% ou Downloads) imediatamente inicia uma conexão de rede de saída incomum (loader baixando o payload).
Acesso a CredenciaisT1003.003 (Despejo de Credencial do OS)Uso do comando netsh wlan show profiles name=* key=clear para extrair senhas de Wi-Fi salvas.Regra: Alerta na execução do cmd.exe ou powershell.exe que inclua a linha de comando exata ou a string netsh wlan show profiles combinada com key=clear.
Acesso a CredenciaisT1555 (Credenciais de Stores de Senhas) / T1552.001 (Credenciais em Arquivos)Acesso e leitura de arquivos de configuração de clientes VPN (e.g., OpenVPN, Cisco AnyConnect) e bancos de dados de navegadores (cofres de senha, cookies, autofill).Regra: Alerta se um processo sem assinatura legítima acessar múltiplos arquivos em caminhos conhecidos de perfis de VPN ou bancos de dados de navegadores (e.g., AppData\Local\Google\Chrome\User Data\Default\Login Data).
ColetaT1113 (Captura de Tela)O malware tira capturas de tela do ambiente de trabalho.Regra: Alerta se um processo não padrão estiver acessando a API de captura de tela do sistema operacional ou criando um volume incomum de arquivos de imagem (e.g., .png, .jpg) em um diretório temporário em um curto período.
ExfiltraçãoT1041 (Exfiltração sobre Canal C2)Empacotamento de dados (VPN, Wi-Fi, senhas, screenshots) em um arquivo ZIP e envio via HTTPS para o servidor de C2.Regra: Alerta se um processo recém-criado/sem assinatura gerar um arquivo .zip de tamanho significativo e, imediatamente após, iniciar uma conexão de saída HTTPS para um endereço IP ou domínio que não faz parte da whitelist ou que é conhecido por ser malicioso (IoC de IP/Domínio de C2).