arkei - RunkIntel

# Arkei Stealer - O Progenitor do Vidar com 7 Anos de Atividade Ininterrupta > **ATIVO (legacy ativo) | Infostealer | Windows | Global** - Arkei Stealer surgiu em **maio de 2018** como um infostealer focado em roubo de credenciais de browsers e carteiras de criptomoedas. E historicamente significativo por ter servido como **base de código para o [[vidar-stealer|Vidar Stealer]]**, um dos infostealers mais prolíficos dos ultimos anos. Apesar do surgimento de variantes mais modernas, o Arkei permanece ativo com IoCs registrados no ThreatFox até 2025. Exfiltra dados via HTTP POST para painel web compactados em arquivo ZIP. > [!info] Arvore Genealógica do Cibercrime > Arkei e o ancestral direto do [[vidar-stealer|Vidar Stealer]] (2018-presente). A relacao e bem documentada: Vidar incorporou a base de código do Arkei com capacidades expandidas e modelo de negocios MaaS mais sofisticado. Entender o Arkei e fundamental para compreender a familia Vidar e suas variantes como [[oski-stealer|Oski Stealer]] e [[mars-stealer|Mars Stealer]]. ## Visão Geral **Arkei Stealer** e um infostealer que surgiu em maio de 2018, vendido em foruns underground russos como ferramenta de roubo de credenciais. Diferentemente de muitos stealers da epoca focados exclusivamente em browsers, o Arkei se destacou por ter capacidades robustas de **coleta de carteiras de criptomoedas** - uma funcionalidade que se tornaria padrao na geracao seguinte de infostealers. O stealer opera baixando um **arquivo de configuração** do servidor C2 ao inicializar, que específica quais alvos coletar (browsers, arquivos, carteiras). Todos os dados sao empacotados em um **arquivo ZIP** e enviados ao painel via HTTP POST - um padrao que foi herdado integralmente pelo [[vidar-stealer|Vidar]]. | Campo | Detalhe | |-------|---------| | **Tipo** | Infostealer | | **Linguagem** | C++ | | **Primeira observacao** | Maio 2018 | | **Status** | Ativo (legacy) - IoCs até 2025 | | **C2** | HTTP POST - ZIP com dados | | **Descendentes** | [[vidar-stealer\|Vidar Stealer]] (fork direto) | | **MITRE** | Sem ID oficial (Vidar tem S0516) | ## Visão Geral Técnica ### Fluxo de Operação **1. Inicializacao e configuração:** - Contato inicial com C2 para baixar arquivo de configuração ([[t1071-001-web-protocols|T1071.001]]) - Configuração específica: quais browsers, quais pastas de arquivos, quais carteiras coletar - Permite ao operador customizar a coleta por campanha **2. Fingerprint do sistema:** - Captura informações básicas: hostname, usuario, IP público (via servico externo), idioma, fuso horario ([[t1082-system-information-discovery|T1082]]) - Screenshot da area de trabalho no inicio ([[t1113-screen-capture|T1113]]) - Lista de software instalado (para identificar alvos de valor) **3. Coleta de credenciais:** - Browsers Chromium: credenciais via DPAPI, cookies de sessao, autofill, historico ([[t1555-003-credentials-from-browsers|T1555.003]], [[t1539-steal-web-session-cookie|T1539]]) - Firefox: `logins.json` + `key4.db` descriptografados - Opera e derivados **4. Coleta de carteiras crypto:** - Desktop wallets: Electrum, Jáxx, Exodus, Ethereum wallet.dat, Monero - Browser extensions crypto (configuravel via C2) ([[t1005-data-from-local-system|T1005]]) - Arquivos `wallet.dat` de Bitcoin Core, Litecoin Core, etc. **5. Arquivos por pattern:** - Configuravel pelo operador: arquivos com extensoes específicas (txt, doc, pdf, kdbx, key) - Documenta o sistema para uso futuro **6. Exfiltração:** - Todos os dados compactados em arquivo ZIP com timestamp ([[t1020-automated-exfiltration|T1020]]) - Enviados via HTTP POST multipart para painel do operador - Auto-delecao do binario após exfiltração bem-sucedida ### Cadeia de Infecção ```mermaid graph TB A["📦 Distribuição inicial Malspam / crackers Software pirata"] --> B["⚙️ Execução do Arkei C++ binario compacto sem instalador"] B --> C["📋 Download de config C2 responde com targets Browsers + wallets + files"] C --> D["🔍 Fingerprint do host Screenshot + OS info IP publico via API"] D --> E["🍪 Coleta browsers DPAPI Chromium Firefox sqlite"] E --> F["💰 Coleta crypto wallet.dat / Electrum Extensoes browser"] F --> G["📁 Arquivos por pattern txt / doc / kdbx Configurado pelo operador"] G --> H["📦 Empacota ZIP Timestamp no nome Auto-delete binario"] H --> I["📤 HTTP POST para painel Multipart upload Log no painel C2"] ``` ## Timeline ```mermaid timeline title Arkei Stealer - Historico e Legado 2018-05 : Primeiras amostras identificadas : Venda em foruns underground russos 2018-10 : Vidar Stealer emerge como fork do Arkei : Código base Arkei expandido com MaaS 2019 : Ambos Arkei e Vidar em circulacao ativa : Arkei perde mercado para Vidar 2020 : Oski Stealer emerge - linha evolutiva separada : Arkei em segundo plano mas ativo 2021 : Mars Stealer baseado em Oski (neto do Arkei) : Arvore genealógica completa documentada 2022 : Arkei detectado em campanhas residuais : Operadores de nicho ainda usam versoes antigas 2023-2025 : IoCs ativos no ThreatFox : 195+ IoCs registrados até marco 2025 ``` ## TTPs MITRE ATT&CK | ID | Técnica | Uso | |----|---------|-----| | [[t1204-002-malicious-file\|T1204.002]] | Malicious File | Usuario executa binario via crack/malspam | | [[t1071-001-web-protocols\|T1071.001]] | Web Protocols | HTTP para baixar config e exfiltrar dados | | [[t1555-003-credentials-from-browsers\|T1555.003]] | Credentials from Browsers | DPAPI Chromium + Firefox sqlite | | [[t1539-steal-web-session-cookie\|T1539]] | Steal Web Session Cookie | Cookies para account takeover | | [[t1082-system-information-discovery\|T1082]] | System Information Discovery | Hardware, OS, IP, idioma, fuso horario | | [[t1113-screen-capture\|T1113]] | Screen Capture | Screenshot no inicio da execução | | [[t1005-data-from-local-system\|T1005]] | Data from Local System | wallet.dat, arquivos por extensao | | [[t1020-automated-exfiltration\|T1020]] | Automated Exfiltration | ZIP automatico via HTTP POST | | [[t1027-obfuscated-files\|T1027]] | Obfuscated Files | Strings ofuscadas no binario C++ | ## Arvore Genealógica de Infostealers O Arkei e o no raiz de uma importante arvore genealógica de infostealers: | Stealer | Relacao | Ano | Status | |---------|---------|-----|--------| | **Arkei** | Original | 2018 | Ativo (legacy) | | [[vidar-stealer\|Vidar Stealer]] | Fork direto do Arkei | 2018 | Ativo (prolífico) | | Oski Stealer | Linha independente mas relacionada | 2019 | Inativo (2020) | | [[mars-stealer\|Mars Stealer]] | Redesign do Oski | 2021 | Ativo | | Pandora Stealer | Variante do Arkei | 2022 | Ativo | ## Impacto no Brasil / LATAM Arkei tem presenca no Brasil principalmente como precursor do ecossistema de infostealers que afeta a regiao: - **Legado tecnico**: As técnicas de coleta desenvolvidas no Arkei - especialmente para browsers Chromium e carteiras crypto - foram herdadas pelo [[vidar-stealer|Vidar]], que tem presenca documentada no Brasil - **Campanhas residuais**: Operadores de menor escala continuam distribuindo binarios Arkei por ser mais barato que alternativas mais modernas com MaaS - **Mercado de credenciais**: Logs de Arkei com credenciais de usuarios brasileiros aparecem em mercados como Russian Market, embora em menor volume que Vidar ou [[lumma-stealer|Lumma Stealer]] > [!tip] Perspectiva de Threat Intel > Para equipes de CTI, entender o Arkei e essencial para rastrear a linhagem de variantes. Quando um novo stealer emerge com padroes similares (config download, ZIP exfil, DPAPI), verificar se ha código compartilhado com Arkei/Vidar e uma boa prática de atribuicao técnica. ## Detecção e Caca a Ameaças ### Indicadores Comportamentais - Processo acessando `Login Data` e `Cookies` do Chrome seguido imediatamente de conexão HTTP externa - Criação de arquivo ZIP em `%TEMP%` ou `%APPDATA%` com timestamp atual - HTTP POST multipart para IP externo contendo arquivo ZIP - Acesso a `wallet.dat` em diretorios de clientes Bitcoin/Litecoin - Processo sem jánela (executado silenciosamente) que se auto-deleta após completar ### KQL - Microsoft Sentinel ```kusto // Arkei: criação de ZIP seguida de POST para C2 let zip_create = DeviceFileEvents | where FileName endswith ".zip" | where FolderPath has_any ("Temp", "AppData", "Users") | where InitiatingProcessFileName !in~ ("7z.exe", "winzip.exe", "winrar.exe", "explorer.exe") | project DeviceId, PID = InitiatingProcessId, ZipTime = Timestamp, ZipFile = FileName; DeviceNetworkEvents | join kind=inner zip_create on DeviceId | where Timestamp between (ZipTime .. (ZipTime + 60s)) | where InitiatingProcessId == PID | where RemoteIPType !in ("Loopback", "Private") | project Timestamp, DeviceName, InitiatingProcessFileName, RemoteIP, ZipFile ``` ```kusto // Arkei: acesso a wallet.dat por processo nao-crypto DeviceFileEvents | where FileName == "wallet.dat" | where FolderPath has_any ("Bitcoin", "Litecoin", "Dogecoin", "Ethereum") | where InitiatingProcessFileName !in~ ("bitcoin-qt.exe", "litecoin-qt.exe", "dogecoin-qt.exe") | project Timestamp, DeviceName, InitiatingProcessFileName, FolderPath ``` ## Referências - [MITRE ATT&CK - Vidar S0516](https://attack.mitre.org/software/S0516/) - Filho do Arkei, documentacao relacionada - [Fortinet - Arkei Technical Analysis](https://www.fortinet.com/blog/threat-research/arkei-how-a-familiar-threat-is-evolving) - [ANY.RUN - Arkei Stealer](https://any.run/malware-trends/arkei) - [ThreatFox - Arkei IoCs](https://threatfox.abuse.ch/browse/malware/win.arkei_stealer/) - [Malpedia - win.arkei](https://malpedia.caad.fkie.fraunhofer.de/details/win.arkei_stealer)