111/69 (IT) ประจำวันอังคารที่ 24 กุมภาพันธ์ 2569
นักวิจัยจาก Kaspersky ตรวจพบปฏิบัติการมัลแวร์ขโมยข้อมูล Arkanix Stealer ถูกโปรโมตในช่วงปลายปี 2025 โดยพบข้อบ่งชี้ว่ามัลแวร์อาจถูกพัฒนาขึ้นโดยใช้โมเดลภาษาขนาดใหญ่ (LLM) หรือ AI ซึ่งช่วยลดระยะเวลาและต้นทุนในการพัฒนา โปรเจกต์ถูกนำเสนอในรูปแบบซอฟต์แวร์สาธารณะ ที่มีโครงสร้างพื้นฐานรองรับ เช่น แผงควบคุม และเซิร์ฟเวอร์ Discord สำหรับติดต่อสื่อสารกับผู้ใช้งาน อย่างไรก็ตามผู้พัฒนาได้ปิดช่องทางดังกล่าวลง เพียง 2 เดือนหลังจากเริ่มดำเนินการ ส่งผลให้การติดตามและตรวจจับทำได้ยากขึ้น
Arkanix มีรูปแบบการให้บริการแบ่งเป็น 2 ระดับ คือระดับพื้นฐานที่พัฒนาด้วยภาษา Python และระดับพรีเมียมที่พัฒนาด้วยภาษา C++ ซึ่งมาพร้อมความสามารถในการหลบเลี่ยงแอนติไวรัส และการป้องกันการวิเคราะห์ด้วย VMProtect โดยมัลแวร์สามารถขโมยข้อมูลระบบ, ประวัติการเข้าชมเว็บ, คุกกี้, รหัสผ่าน และข้อมูลกระเป๋าเงินดิจิทัลจากเบราว์เซอร์กว่า 22 รายการ การดึงโทเค็น OAuth2 บนเบราว์เซอร์กลุ่ม Chromium ขโมยข้อมูลจากแอปพลิเคชัน Telegram และ Discord รวมถึงบริการ VPN อย่าง NordVPN และ ExpressVPN ได้อีกด้วย
เวอร์ชันพรีเมียม มีการเพิ่มความสามารถในการขโมยข้อมูลรับรอง RDP การตรวจสอบ Anti-sandbox และ Anti-debugging เพื่อป้องกันการถูกวิเคราะห์ในสภาพแวดล้อมจำลอง พร้อมทั้งติดตั้งเครื่องมือ ChromElevator ซึ่งใช้เทคนิคการฉีดโค้ด (Injection) เข้าไปในกระบวนการทำงานของเบราว์เซอร์เพื่อบายพาสระบบป้องกัน App-Bound Encryption (ABE) ของ Google นักวิจัยประเมินว่า Arkanix อาจเป็นโครงการที่มุ่งผลประโยชน์ระยะสั้น หรือเพื่อทดสอบประสิทธิภาพของ AI ในการพัฒนาและอัปเดตฟีเจอร์ใหม่ ให้กับมัลแวร์ ก่อนถูกนำไปต่อยอดในแคมเปญโจมตีที่ซับซ้อนยิ่งขึ้นในอนาคต
