Пароли, крипта и доступ к Steam. Рассказываем об Arkanix, который имитировал легальный бизнес и внезапно исчез

Осенью 2025 года в даркнете появился новый инфостилер Arkanix Stealer. Его продвигали как полноценный коммерческий продукт с панелью управления, поддержкой и даже партнёрской программой. Но уже через пару месяцев проект внезапно исчез, будто его и не было.

Рекламу Arkanix Stealer заметили в октябре 2025 года на нескольких теневых форумах. Покупателям предлагали модель «вредоносное ПО как услуга»: клиент получал не только саму программу, но и доступ к веб-панели, где можно было настраивать функции, создавать новые сборки и следить за статистикой заражённых устройств. Связь с авторами шла через сервер в Discord, оформленный почти как официальный форум продукта.

Точный способ первичного заражения установить не удалось. Однако названия файлов вроде steam_account_checker_pro_v1.py или discord_nitro_checker.py намекают на фишинговые схемы с приманками под игровые сервисы и бонусы. Пользователю подсовывали загрузчик на Python или исполняемый файл, который затем подтягивал основную часть вредоносной программы.

Python-версия Arkanix умела динамически менять набор функций. После запуска загрузчик устанавливал необходимые библиотеки, связывался с сервером arkanix[.]pw и регистрировал заражённый компьютер в панели управления. Затем он скачивал основной модуль. Перед сбором данных программа дополнительно получала так называемый «дроппер», содержимое которого скрыто.

Функции кражи данных были обширными. Вредоносная программа собирала сведения о системе, включая версию операционной системы, процессор, видеокарту, объём памяти, список установленных программ, антивирус и наличие служб виртуальной частной сети. Отдельный модуль проверял внешний адрес через сторонний сервис и определял, не используется ли виртуальная частная сеть или сеть анонимизации.

Особое внимание уделили браузерам. В списке поддержки было 22 приложения, от Google Chrome до Tor Browser. Программа извлекала историю посещений, сохранённые пароли, файлы cookie, данные автозаполнения и сведения о банковских картах. Для браузеров на базе Chromium дополнительно извлекались токены авторизации. Данные расшифровывались средствами самой системы или алгоритмом AES, после чего искались ключевые слова, связанные с банками и криптовалютами. Отдельно собирались данные расширений для криптокошельков.

Arkanix завершал процесс Telegram и архивировал каталог с пользовательскими данными, чтобы отправить его на сервер. Для Discord предусматривались две функции: кража учётных данных и автоматическая рассылка сообщений друзьям и по каналам через официальное API сервиса. Файлы при этом не прикреплялись, но вредоносные ссылки могли распространяться дальше по цепочке.

Программа также искала данные популярных сервисов виртуальной частной сети, учётные записи игровых платформ, файлы удалённого рабочего стола с сохранёнными паролями и документы на рабочем столе и в папке загрузок. В списке интересующих имён файлов встречались даже французские слова вроде motdepasse и banque, что говорит о попытке охватить пользователей из разных стран.

Существовала и версия на C++, которую распространяли как «премиальную». Она применяла средства защиты от анализа, отключала встроенные механизмы контроля Windows и шифровала весь трафик по схеме AES-GCM с производным ключом. Внутри неё без изменений встроили открытый проект ChromElevator, предназначенный для извлечения данных из браузеров уже после заражения. Этот модуль внедрялся в процесс браузера и получал мастер-ключ для расшифровки паролей и cookie.

Инфраструктура включала домены arkanix[.]pw и arkanix[.]ru, скрытые за службой Cloudflare. На них размещалась панель управления, защищённая страницей входа. К декабрю 2025 года и панель, и сервер в Discord перестали работать без каких-либо объявлений. Обещанный «криптор» для сокрытия вредоносных файлов так и не появился.

Авторы активно имитировали поведение легальной компании. Они публиковали опросы о будущих функциях, обещали техническую поддержку и запустили реферальную программу с бонусами за приглашённых клиентов. По структуре кода и характерным элементам проекта можно предположить, что при разработке использовали системы автоматической генерации кода, что могло ускорить выпуск продукта.

В итоге Arkanix оказался скорее краткосрочной кампанией для быстрого заработка, чем долгоживущим проектом. За короткое время он успел собрать внушительный набор инструментов для кражи банковских данных, криптовалют и игровых учётных записей. А затем исчез, оставив после себя лишь рекламные сообщения на форумах и следы в отчётах исследователей.