Киберпреступники атакуют геймеров через фейковые страницы itch.io с предложением протестировать игры

Атака начинается с личного сообщения в Discord, которое поступает либо от взломанного аккаунта друга, либо от неизвестного разработчика, предлагающего протестировать новую игру. Ссылка ведет на внешнюю страницу, имитирующую дизайн itch.io, с описанием проекта, скриншотами и кнопкой загрузки. Одна из обнаруженных подделок копирует страницу популярной 2D-платформерной игры Archimoulin, настоящая версия которой доступна по адресу nicolasduboc.itch.io/archimoulin.

Эксперты по кибербезопасности выделяют три ключевых элемента, делающих эту схему эффективной. Во-первых, использование доверенного канала доставки - сообщений от друзей или членов игровых сообществ. Во-вторых, создание убедительных страниц-клонов, которые размещаются на субдоменах Blogspot или облачных сервисах, а загрузки осуществляются через проверенные сервисы вроде Dropbox. В-третьих, некоторые варианты атаки включают фишинговые страницы входа в Discord, что позволяет злоумышленникам получать учетные данные жертв и распространять ссылки среди их контактов.

Технический анализ показал, что исполняемый файл Setup Game.exe, который предлагается для загрузки, представляет собой скрытый загрузчик. При запуске файла пользователь не видит привычного интерфейса установщика - это сделано намеренно, чтобы не вызывать подозрений. Вместо этого программа запускает PowerShell с закодированной командой, которая декодирует и выполняет в памяти дополнительный скрипт. Такой подход позволяет избежать создания файлов на диске, что усложняет обнаружение антивирусными решениями.

Скрипт использует различные методы маскировки, включая скрытие окна PowerShell через .NET-функции, попытки повышения привилегий через runAs и компиляцию вспомогательных компонентов с помощью csc.exe. Загрузчик распаковывает среду выполнения Node.js и нативные модули в кеш пользователя, а также принудительно закрывает основные браузеры через taskkill, предотвращая возможность быстрого поиска информации о подозрительном поведении.

Особенностью данной вредоносной программы является проведение проверок окружения перед установкой основного payload. Система анализирует сетевые параметры, реестр и характеристики BIOS, чтобы убедиться, что работает на реальном компьютере, а не в песочнице исследователей безопасности. Это позволяет избежать преждевременного обнаружения.

Специалисты рекомендуют проявлять особую бдительность при получении неожиданных сообщений со ссылками на загрузку игр. Тревожными сигналами могут стать отсутствие интерфейса установщика, самопроизвольное закрытие браузеров или появление незнакомых папок в системных директориях. Важно обращать внимание на процессы PowerShell с параметром -EncodedCommand, который часто используется для скрытого выполнения скриптов.

При подозрении на заражение необходимо немедленно сменить пароли от всех важных учетных записей с чистого устройства, включить двухфакторную аутентификацию, отозвать активные сессии и авторизованные приложения. После этого следует провести полную проверку системы антивирусными средствами, удалить подозрительные файлы и папки, а также предупредить контактов о возможной рассылке вредоносных ссылок с компрометированного аккаунта.

Данная кампания демонстрирует, как злоумышленники эксплуатируют открытость и доверие, характерные для сообществ независимых разработчиков. Один неосторожный клик может привести к серьезным последствиям - от потери учетных записей до полного компрометирования системы. Специалисты рекомендуют всегда проверять подлинность ссылок и уточнять у отправителя через альтернативные каналы связи перед загрузкой любых файлов.

Domains

• cakewind.blogspot.com
• carnagev1.blogspot.com
• kelarigame.blogspot.com
• klorigame.blogspot.com
• meraliagame.blogspot.com
• ravielchy.blogspot.com
• ravielchygame.blogspot.com
• tamunagame.blogspot.com
• veriliagame.blogspot.com