Новое поколение вредоносных программ-похитителей атакует геймеров через поддельные читы на GitHub

Аналитики исследовательского подразделения Acronis Threat Research Unit (TRU) обнаружили сотни вредоносных репозиториев, нацеленных практически на каждую крупную игровую франшизу, от Counter-Strike 2 и Valorant до Fortnite и Call of Duty. Злоумышленники используют сложную цепочку доставки, скрывая финальные ссылки для скачивания за изображениями и перенаправляя жертв через сторонние сайты, что затрудняет систематическое обнаружение угрозы. Эта тактика делает истинный масштаб кампании труднооцениваемым, но, по мнению экспертов, он может достигать тысяч активных страниц.

Игроки, ищущие читы, представляют собой идеальную цель для атакующих. Они не только сознательно скачивают ПО из неофициальных источников, часто игнорируя предупреждения систем безопасности, но и имеют веские причины не сообщать о возможном заражении. Кроме того, их учетные записи зачастую обладают реальной финансовой ценностью благодаря внутриигровым предметам, достижениям и валюте, которые можно выгодно продать на серых рынках. Особую озабоченность вызывает тот факт, что предложение «бесплатных» читов целенаправленно привлекает наименее защищенную аудиторию - детей и подростков, которые могут проявлять меньше осторожности.

Всплеск активности Vidar 2.0 напрямую связан с недавними успешными операциями правоохранителей против инфраструктуры таких доминировавших ранее похитителей, как Lumma (LummaC2) и Rhadamanthys. Криминальный спрос на инструменты для кражи данных никуда не исчез, а лишь мигрировал, и Vidar, будучи одним из старейших семейств, оказался готов предложить альтернативу. Это наглядная демонстрация того, как действия по противодействию угрозам меняют ландшафт, но не устраняют его коренные причины, требуя от защитников постоянной бдительности.

Технически Vidar 2.0 представляет собой значительную эволюцию. Разработчики полностью переписали код с C++ на C, что, по их заявлениям, повысило стабильность и скорость работы. Новый полиморфный механизм сборки создает уникальные бинарные файлы для каждой жертвы, сводя на нет эффективность сигнатурных методов обнаружения. Многопоточное исполнение позволяет красть данные параллельно, ускоряя процесс компрометации. Для усложнения анализа используются продвинутые методы обфускации, контроля времени выполнения и обнаружения отладчиков и виртуальных сред.

Арсенал похитителя впечатляет: он способен извлекать учетные данные и файлы cookie браузеров, данные автозаполнения, токены Microsoft Azure, ключи криптовалютных кошельков, учетные записи FTP и SSH, данные из мессенджеров Telegram и Discord, а также произвольные файлы с диска. Для маскировки своей командной инфраструктуры (C2) злоумышленники используют Telegram-ботов и публичные профили в Steam в качестве так называемых «мёртвых точек» (dead drop resolvers), извлекая реальные адреса серверов из, казалось бы, безобидного контента.

Типичная атака начинается в сообществах Discord или на Reddit, где пользователи обсуждают читы. Жертве предлагают перейти на страницу на GitHub Pages, которая выглядит как официальный сайт разработчика модификации. С этой страницы пользователя перенаправляют на сторонний ресурс, где ему дают подробную инструкцию по «установке», включающую отключение антивируса и запуск исполняемого файла с правами администратора. Вредоносная нагрузка может быть упакована в защищённые паролем архивы или скрыта внутри файлов с игровой иконкой.

Один из проанализированных сценариев использует скомпилированный в .NET-бинарник PowerShell-скрипт в качестве загрузчика. Этот скрипт добавляет папку в исключения Microsoft Defender, запрашивает у Pastebin ссылку на следующий этап, загружает финальную полезную нагрузку - упакованный в Themida файл Vidar - и устанавливает её в систему через задание Планировщика задач Windows для обеспечения постоянства (persistence). Структурированность и чистота кода этого загрузчика наводят на мысль о возможном использовании злоумышленниками больших языковых моделей (LLM) для его разработки.

Последствия успешного заражения могут быть далекоидущими. Похищенные учетные данные от игровых платформ, почты и соцсетей продаются на теневых форумах. Токены Azure открывают доступ к корпоративным облачным ресурсам, а ключи от криптокошельков ведут к прямой финансовой потере. Учитывая, что атака часто завершается до того, как жертва что-либо заподозрит, шансы вовремя отозвать компрометированные данные или заблокировать аккаунты минимальны.

Для противодействия подобным угрозам компаниям и частным пользователям необходимо применять многоуровневую стратегию защиты. Критически важно использовать современные решения класса EDR (Endpoint Detection and Response), способные обнаруживать подозрительные цепочки поведения процессов и попытки кражи данных. Следует внедрять политики ограничения исполнения кода из непредназначенных для этого каталогов, таких как «Загрузки» или «Рабочий стол». Регулярное обучение пользователей, особенно в геймерской среде, рискам загрузки ПО из непроверенных источников остается одной из ключевых мер. Ни авторитет платформы, вроде GitHub, ни ожидание, что читы будут вести себя подозрительно, не являются достаточной гарантией безопасности. В условиях, когда спрос на украденные данные остается высоким, а инструменты для их хищения постоянно развиваются, только комплексный подход может эффективно снизить риски.

URLs

• https://steamcommunity.com/profiles/76561198761022496
• https://steamcommunity.com/profiles/76561198765046918
• https://steamcommunity.com/profiles/76561198780411257
• https://telegram.me/ahnadar
• https://telegram.me/bul33bt
• https://telegram.me/cego54

SHA256

• 2f416aac027f19f563cc45e3b4b72e992aaafb63da27f968b9a76a391134dc7d
• 496d15810c25136955dd9aed6d018519380ee431f28c1bca715da59fe1385d12
• 4a090e26e285661730dfd0911856c830bd0a44e639237178476ccb4993d7974f
• b1cebd305c6aa27048a3673e70f8e1604735b2c06c83452d2935c330b5a3eb58
• b6192c05029c8905fcbb88469d712dfdeaf1feb33b0690f8539373f19b6cbf85
• bfee57d9e1b68c5c5aa63792b4e67b94f3361749e186531bd01609d9382672f3
• c5e7fab18baee4a6b092e566414f4d2df1afbde35a1d12f518113054f144853f
• cbf2218ce316134795c75691f17dfaf02071ff5c369049fbf11ed072cf2103ab
• d1258b4c2b9849833651d1e844d1a99a5bc7febbb751548f960e92525afe6c26
• d1721c9adcfa3d16bb4907afccfae64517e6c58a7c6ef058c9f5f543f60240c9
• e1979c42cb9e72ba9f9fcae7364887df1edcad38128feefdc3adbc768c51da05
• fa7eafa65996c325faf2d77cc2d80179daa9228b3c138d2d3365280c79e30820