Новая угроза для геймеров: хакеры используют игры для распространения вредоносных программ

Как работает атака?

Злоумышленники создают максимально правдоподобные имитации игровых ресурсов, чтобы убедить пользователей скачать вредоносное ПО. Например, сайт Baruda Quest предлагает загрузку для Windows, macOS и Android, но только версия для Windows содержит RMC Stealer - модифицированный вариант Leet Stealer. Аналогичные схемы применяются в Warstorm Fire и Dire Talon, где используются украденные арты из реальных игр (Crossfire: Sierra Squad и Project Feline соответственно), чтобы усилить доверие.

Распространение происходит через Discord, где злоумышленники активно делятся ссылками на «установщики игр». При запуске файла жертва либо не видит никакого результата, либо получает фейковое сообщение об ошибке (например, «Недостаточно оперативной памяти» или «Игра несовместима с вашей системой»), в то время как в фоновом режиме стилер начинает сбор данных.

Чем опасны эти стилеры?

Основная цель таких вредоносных программ - кража конфиденциальной информации, включая:

• Логины и пароли из браузеров (Chrome, Edge, Opera и др.).
• Токены Discord, которые позволяют злоумышленникам получить доступ к аккаунту жертвы, отправлять сообщения от её имени или даже шантажировать.
• Данные криптокошельков и платёжных систем, что может привести к финансовым потерям.
• Личные переписки из мессенджеров (WhatsApp, Telegram).

Кроме того, стилеры могут загружать дополнительные вредоносные модули, расширяя возможности атаки. Например, Leet Stealer и его варианты поддерживают скачивание и запуск произвольных файлов, что открывает путь для более опасных угроз, таких как ransomware или шпионские программы.

Технические детали

Особенность этой кампании - использование фреймворка Electron, который позволяет упаковывать вредоносный JavaScript-код в исполняемые файлы для Windows. Некоторые образцы, такие как BarudaQuest.exe, достигают 80 МБ, что помогает им избегать детектирования антивирусами.

Исследователи обнаружили, что в одном из случаев злоумышленники допустили ошибку, оставив исходный код стилера (RMC Stealer) внутри архива. Анализ показал, что ПО включает механизмы противодействия песочницам: проверяет IP-адреса, имя компьютера, объем оперативной памяти и запущенные процессы. Если обнаруживается виртуальная среда, стилер выводит фейковую ошибку и прекращает работу.

Для кражи данных из браузеров используется метод отладки (debug mode), позволяющий извлекать cookies и пароли напрямую из памяти. Собранная информация упаковывается в ZIP-архив и отправляется на файлообменники (gofile.io, file.io и др.), после чего злоумышленники получают уведомление о успешной утечке.

Вывод

Данная кампания демонстрирует, насколько изощрёнными стали методы киберпреступников. Они не только используют технические уязвимости, но и эксплуатируют психологию пользователей, предлагая контент, от которого сложно отказаться. Геймеры - одна из наиболее уязвимых групп, так как энтузиазм по поводу новых релизов может перевесить осторожность. Осведомлённость и критическое мышление остаются главными инструментами против подобных атак.

SHA256

• 051028c2acc74cb55f5a5e28c7ba1613fd4a13dcf5f6a6325557ae1b88900ee8
• 09c3291425fe6858800e6a3a57b4a72cda5430f8fba87607a38b8e09da7a0e8c
• 150f7b4615a2e0e7d21a32e12e796fc009c1fe25f2efff889acf84924fef39e4
• 1ca60801bed5f8a607afb7054536bdd7d56670c04d3836cdf0cd4e07d8f2edff
• 321c7c999ecc5670207394f2f2d3cf4712b15f1f87c1b0ec05ed2367d922f1dc
• 35ad1623694496ec91bc853b391c8bebdfa1aeaea2c4dcf74516e2cd13ab44f4
• 3d9064c9dc6ff391a563ce333301f8c4e2eded28192ef4448b09eb2e04ceb965
• 53444e1c5d2ad49af46712b27da16de14447159d2752e2c303b5ded9afb5128a
• 567fb96e8b101abc45f2dfba470ea8a7298063f7428409d8b7e5c8f4326b6dc0
• 576fbe574f31cf6adf15884a89c3c3c333714637cb513dbe8c788a2056047fa5
• 58d8a8502e7e525795cd402c7d240b50efcdde449eab9ee382f132f690a1989c
• 5c7c70ab9734838795050a91f08f1af9e3cb479caf20bd34944282e8ac455ea7
• 6f441dc6a45fd6dac4fe19707c6338b8bca1aabfb7842d7ebf94fb2fab2f12d5
• 767f575d30deb66244b29bafae51111fdb869ba26d1df902e3f839bdb64725f9
• 77aae85b96fedda4e9808c4376738cc058b79b13e705f4c101d32083e4c70601
• 798eee15a3e93ee0d261501df979dc3b61a9e5992188edeada5beaba0b30b8df
• 813e5923e6d4df56055f5b5200db2e074e89f64dea3099e61fbde78c0fc23597
• 82421012c689dfe36965d5c89bbeb4af3efb65556eb8df4bf5b863e261e28e8b
• 8294f79f9ecf81a65cdc049db51a09cd352536d7993abd0cfa241bbbceefa6e3
• 82beb169bd08d07b1167e3b6d3d22f8f4a6687e6d9d7277fc9e206598d5bd608
• 8c83b52df8a9c9602e745decabfb8f2c754cb6d57780b50ff86908df2b69408f
• 9411b71653f83190a139296d58737f3935bdd58c13142381e59a8d106184e15e
• a07462af74cdccc1bba698aa5175923437d400c87e0b88601414630f7ee08f97
• a3636b09302a77ed7a6c75c5e679ba9ed0dbe12892f5fe94975ab3ef6be7ade8
• aa32d16626f200c7c7db186174b62cabc9790536a70cd360e92a05a00a4750b0
• ac6aaed5b02ae265382c666371b557bd4e3c8c8dc08a1640b5cd06c27ed1b1f2
• b127202d13bd170c15c3733991d790bc5464e3d77965e9cf59172c7cf3881738
• b9adcf54b09475ed2023f5b3c03e23013e65195b4e8bfbb82c8c13fde194b2d4
• c4b672e76dc870de0eec5e2d68441a07569d38cd4e12aef359be7b251eed57a6
• cee750d6cb834b766a214b6609ed4eca62b0330a9904cf2f77b184a77e70f4d3
• d33dbba2f4e25148e2d9a59b1157d71d29ab5a30beeb5f0992b0d3f2859a90c2
• e71e57ce90fc0d4816faf315991bd9e46dd45660d83be40dd4408c854e7b6d41
• f0b43b49c420b08a7990ae8af937cc974700b8fa2bad2890f313f6b534069bcd