Пароли, крипта и доступ к Steam. Рассказываем об Arkanix, который имитировал легальный бизнес и внезапно исчез
NewsMakerВирус Arkanix научился обходить защиту Windows для извлечения паролей из браузеров
Осенью 2025 года в даркнете появился новый инфостилер Arkanix Stealer. Его продвигали как полноценный коммерческий продукт с панелью управления, поддержкой и даже партнёрской программой. Но уже через пару месяцев проект внезапно исчез, будто его и не было.
Рекламу Arkanix Stealer заметили в октябре 2025 года на нескольких теневых форумах . Покупателям предлагали модель «вредоносное ПО как услуга»: клиент получал не только саму программу, но и доступ к веб-панели, где можно было настраивать функции, создавать новые сборки и следить за статистикой заражённых устройств. Связь с авторами шла через сервер в Discord, оформленный почти как официальный форум продукта.
Точный способ первичного заражения установить не удалось. Однако названия файлов вроде steam_account_checker_pro_v1.py или discord_nitro_checker.py намекают на фишинговые схемы с приманками под игровые сервисы и бонусы. Пользователю подсовывали загрузчик на Python или исполняемый файл, который затем подтягивал основную часть вредоносной программы.
Python-версия Arkanix умела динамически менять набор функций. После запуска загрузчик устанавливал необходимые библиотеки, связывался с сервером arkanix[.]pw и регистрировал заражённый компьютер в панели управления. Затем он скачивал основной модуль. Перед сбором данных программа дополнительно получала так называемый «дроппер», содержимое которого скрыто.
Осенью 2025 года в даркнете появился новый инфостилер Arkanix Stealer. Его продвигали как полноценный коммерческий продукт с панелью управления, поддержкой и даже партнёрской программой. Но уже через пару месяцев проект внезапно исчез, будто его и не было.
Рекламу Arkanix Stealer заметили в октябре 2025 года на нескольких теневых форумах . Покупателям предлагали модель «вредоносное ПО как услуга»: клиент получал не только саму программу, но и доступ к веб-панели, где можно было настраивать функции, создавать новые сборки и следить за статистикой заражённых устройств. Связь с авторами шла через сервер в Discord, оформленный почти как официальный форум продукта.
Точный способ первичного заражения установить не удалось. Однако названия файлов вроде steam_account_checker_pro_v1.py или discord_nitro_checker.py намекают на фишинговые схемы с приманками под игровые сервисы и бонусы. Пользователю подсовывали загрузчик на Python или исполняемый файл, который затем подтягивал основную часть вредоносной программы.
Python-версия Arkanix умела динамически менять набор функций. После запуска загрузчик устанавливал необходимые библиотеки, связывался с сервером arkanix[.]pw и регистрировал заражённый компьютер в панели управления. Затем он скачивал основной модуль. Перед сбором данных программа дополнительно получала так называемый «дроппер», содержимое которого скрыто.