Hack Alerta

Arkanix: novo stealer rouba credenciais de VPN, Wi‑Fi e screenshots

Por Redação Hack Alerta Publicado em 02/12/2025 12:03 Riscos e Ameaças Tempo de leitura: 3 min

Arkanix é uma nova família de info‑stealer que rouba credenciais de VPN, perfis Wi‑Fi, senhas de navegador e screenshots. A campanha usa loaders distribuídos via downloads falsos e envia dados compactados para servidores C2 via HTTPS.

Pesquisadores da G Data identificaram uma nova família de malware, batizada Arkanix, que vem sendo usada para campanhas de info‑stealing focadas em usuários domésticos e pequenos escritórios. O código coleta credenciais de VPN, perfis de Wi‑Fi, credenciais de navegadores e capturas de tela, entregando tudo ao operador por um canal C2 cifrado.

Descoberta e escopo

Segundo a análise divulgada, a descoberta ocorreu durante investigações de campanhas recentes; a telemetria apontou repetidos roubos de perfis VPN e chaves Wi‑Fi em sistemas na Europa e em "outras regiões". As amostras utilizam um loader leve — frequentemente entregue por downloads falsos ou ferramentas “crackeadas” — que busca e executa o payload principal hospedado em servidores remotos.

Vetor e modo de operação

O fluxo típico começa com um instalador que parece legítimo e que executa sem alarmes ao usuário. Após o carregamento, o binário principal realiza varredura por caminhos conhecidos onde VPNs e perfis sem fio costumam ser armazenados, coleta vaults de navegadores e captura screenshots do desktop ativo. Todo o material é compactado e enviado via HTTPS para o servidor de comando e controle.

for each(path in target_paths){
    grab_files(path);
}
take_screenshot();
upload_to_c2(zip_all());

Um painel de controle usado pelos operadores permite ativar módulos específicos (por exemplo, apenas Wi‑Fi ou apenas screenshots), o que torna a família modular e adaptável a mudanças de objetivo.

Mitigações práticas

  • Evitar instalação de software de fontes não oficiais e proibir uso de ferramentas “crackeadas” em ambientes corporativos;
  • Aplicar MFA em serviços VPN e rotacionar credenciais comprometidas imediatamente;
  • Inspecionar tráfego HTTPS suspeito com TLS inspection onde a política de privacidade permitir e monitorar uploads anômalos para domínios desconhecidos;
  • Usar EDR para detectar padrões de leitura de arquivos críticos (profiles, vaults) e captura de tela.

Impacto e quem é afetado

O perfil de alvo — usuários domésticos e pequenos escritórios que dependem de VPN/wi‑fi para trabalho — torna a família perigosa para ambientes híbridos. Além do roubo de credenciais, as screenshots fornecem visibilidade direta de trabalhos e sessões autenticadas, facilitando movimentos laterais ou fraude.

Limitações e o que falta saber

As análises disponíveis não quantificam um número total de vítimas nem listam domínios C2 específicos para bloqueio. Também não há indicação pública de uso de exploits zero‑day; o vetor aparenta depender de engenharia social e amostras de instalação maliciosa.

Recomendações finais

Organizações com colaboradores remotos devem reforçar campanhas de segurança, políticas de uso de software e rotinas de resposta a credenciais vazadas. Discoveries adicionais podem surgir; equipes devem acompanhar publicações da G Data e feeds de IOC para atualizar regras de detecção.

Baseado em publicação original de Cyber Security News
Tags: #stealer #vpn #wifi #credentials #infostealer #g-data #malware #c2 #credential-theft
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar