В сфере кибербезопасности зафиксирована тревожная находка. Вредоносная программа, нацеленная на полный контроль над устройством жертвы, распространяется под видом инструментов для популярных онлайн-игр. Такой подход превращает любимые развлечения миллионов пользователей в рычаг для скрытой атаки. Злоумышленники не ищут сложные технические уязвимости. Они играют на интересах и доверии геймеров, предлагая им читы, моды и, возможно, выгодные сделки. Последствия же выходят далеко за пределы игрового аккаунта.
Описание
Речь идёт о новой программе удалённого доступа, получившей имя KarstoRAT. Вредонос впервые появился в поле зрения инструментов автоматического анализа в начале 2026 года. Специалисты LevelBlue, раскрывшие эту угрозу в своём подробном отчёте, делятся ключевыми выводами. Вредонос не был замечен на крупных подпольных форумах или в рекламных публикациях. Этот факт указывает на частную разработку и использование узкой группой операторов. Обнаружение нескольких образцов в публичных средах предоставило редкую возможность изучить закрытый инструмент на раннем этапе его применения.
Анализ инфраструктуры управления выявил не только техническую оснащённость, но и продуманную маскировку. Управляющий сервер, расположенный по определённому IP-адресу, обслуживает сразу несколько веб-страниц. Одна из них, доступная по определённому порту, представляет собой поддельную биржу предметов для Roblox. Страница имитирует торговую площадку для игры Blox Fruits. Вторая страница - это панель загрузки читов под названием Venom Files. Она предлагает программы для получения преимущества в Call of Duty: Black Ops 6 и моды для GTA V. Обе страницы служат классическими приманками. Операторы KarstoRAT заманивают игроков и моддеров обещанием редких предметов или запрещённых улучшений. В результате жертва сама загружает и запускает вредоносный файл.
Функциональность самого трояна впечатляет своей глубиной. После заражения он немедленно приступает к сбору данных и закреплению в системе. Вредонос определяет имя пользователя и внешний IP-адрес жертвы. Затем он входит в бесконечный цикл, постоянно поддерживая связь с сервером. В основе его работы лежит набор команд, позволяющих оператору чувствовать себя полноправным хозяином скомпрометированной машины.
Набор шпионских возможностей KarstoRAT весьма широк. Он умеет делать скриншоты экрана каждые несколько секунд. Он способен скрытно активировать веб-камеру, делать снимок и сохранять его во временную папку перед отправкой. Кейлогер, или программа для перехвата нажатий клавиш, фиксирует всё, что жертва набирает на клавиатуре. Эта функция включается и выключается удалённо, а собранные данные периодически отправляются на сервер злоумышленников. Любое действие, от ввода пароля до личной переписки, становится достоянием атакующих.
Помимо слежки, троян предоставляет широкие возможности для управления самой системой. Команда на запуск удалённой оболочки открывает злоумышленнику доступ к командной строке Windows. При этом окно консоли надёжно скрыто от глаз пользователя. Оператор может выполнять произвольные команды, манипулировать файлами и загружать другие вредоносные модули. Для сохранения доступа после перезагрузки KarstoRAT использует два метода закрепления. Он либо создаёт задачу в планировщике с безобидным именем SystemCheck, либо копирует себя в папку автозагрузки под видом процесса SecurityService.exe.
Техническая реализация сетевого обмена заслуживает отдельного внимания. Все коммуникации с управляющим сервером ведутся через протокол HTTP. Вредонос использует стандартные программные интерфейсы Windows для работы с интернетом. При этом он применяет фиксированный идентификатор браузера SecurityNotifier. Такая однотипность создаёт чёткий цифровой след. С одной стороны, это упрощает обнаружение вредоносной активности на уровне сети. С другой - применение зашифрованных туннелей, таких как V2Ray, помогает операторам скрывать основной канал связи и обходить ограничения.
Находка KarstoRAT - это ценное предупреждение для отрасли. Она демонстрирует, как частный, целевой инструмент маскируется под массовый сервис для геймеров. Пользователям стоит с крайним недоверием относиться к любым предложениям по загрузке читов, модов или сторонних лаунчеров. Безобидная на первый взгляд программа может таить в себе инструмент для тотальной цифровой слежки. Профессиональная среда получила образец того, как развиваются атаки с использованием социальной инженерии. Безопасность в цифровых развлечениях перестала быть вопросом сохранности лишь виртуального имущества. Речь идёт о защите всей личной информации на персональном компьютере.
Индикаторы компрометации
IPv4
- 212.227.65.132
Domains
- hallucinative-shabbily-olga.ngrok-free.dev
MD5
- 19e747644979f0f1ee459d2d298ab5d6
- a5bef919eb260af5bb8eba243ed4fd75
- a857e04d4e07ad9671c4290c0a3b856c
- f35cebd169a5751e89d7048a28ecace7
- fe9db3aed6a04c762472afdf2face254
SHA1
- 10c9a8a6c6f6ea9233a7df700c4a724b5f49ff74
- 2d32b10f191b3897dc4ab5041639f16e0bd75ba4
- 911c94edb0fbef89c1a120a3530560fb6b0114d1
- 94e98b714bfb102d143957cf1e00bd45b5b8fa4d
- c6297eae6d141d5f803aaeb2cec08328b4ac4183
SHA256
- 07131e3fcb9e65c1e4d2e756efdb9f263fd90080d3ff83fbcca1f31a4890ebdb
- 65229ef9d09e4cbfae326d41c517576cc2143c259fd764f259f3925fc8917c8b
- 839e882551258bf34e5c5105147f7198af2daf7e579d7d4a8c5f1f105966fd7e
- aca3f2902307c5ebdb43811b74000783d61b6ad29d7796bb8107d8b1b38d76a3
- ee5b0c1f0015b9f59e34ef8017ead6e83259b32c4b0e07dc1f894b0d407094a3
