Киберпреступники всё чаще используют узкотаргетированные методы, подстраиваясь под интересы конкретных аудиторий. Новая кампания, нацеленная на игроков, демонстрирует изощрённый подход: злоумышленники создали поддельный установщик для платформы инди-игр IndieGala, распространяя его через различные сетевые каналы. Вредоносная программа, маскирующаяся под установку игры для взрослых, разворачивает на компьютере жертвы многофункциональный троянец удалённого доступа (RAT), способный красть пароли, криптовалюту и устанавливать скрытый контроль над системой. Этот инцидент подчёркивает растущие риски, связанные с загрузкой контента из непроверенных источников, даже в нишевых сегментах цифрового рынка.
Описание
Атака начинается с исполняемого файла, упакованного с помощью легитимного установщика Advanced Installer. При запуске он извлекает и устанавливает вредоносный MSI-пакет, который является первым этапом сложной цепочки. Ключевым элементом начальной стадии является скрипт PowerShell, встроенный в установщик. Его задача - ослабить защиту системы. Скрипт добавляет ключевые пути (включая корень диска C:\, каталоги ProgramData и APPDATA), процессы (powershell.exe, rundll32.exe, msiexec.exe) и расширения файлов (.exe, .msi, .dll) в список исключений защитника Windows Defender. Это позволяет последующим компонентам действовать, не будучи обнаруженными встроенными средствами безопасности операционной системы.
Параллельно с нейтрализацией защиты скрипт собирает информацию о системе: версию ОС, доменное имя компьютера и список установленных антивирусных продуктов. Эти данные отправляются на командный сервер злоумышленников (C2). Только после этого начинается загрузка следующего этапа - ещё одного MSI-файла, который маскируется под обновление Microsoft Edge. Этот пакет создаёт в системе задание планировщика задач, имитирующее процесс обновления OneDrive. Задание настроено на автоматический запуск при входе пользователя в систему и выполняет вредоносную библиотеку DLL через легитимную утилиту rundll32.exe.
На этом этапе проявляется сложная техника обфускации полезной нагрузки. Библиотека "olecli32ba_Win.dll" не содержит вредоносного кода напрямую. Вместо этого она читает зашифрованные данные из другой DLL-библиотеки ("cmiaisupportSYS.dll") по фиксированному смещению, расшифровывает их с помощью операции XOR и загружает итоговый код в память. Этот метод, известный как "файловый дроппер", затрудняет статический анализ и позволяет скрыть основной вредонос от примитивных сигнатурных проверок. Итоговой полезной нагрузкой оказывается троянец удалённого доступа SectopRAT.
Аналитики кибербезопасности из компании Rising, специализирующейся на системах обнаружения и реагирования (EDR), обнаружили и детально изучили функционал этого RAT. Его возможности соответствуют продвинутым угрозам и охватывают практически весь цикл кибератаки по фреймворку MITRE ATT&CK. Основная цель - кража конфиденциальных данных. Троянец способен извлекать сохранённые логины, пароли и файлы cookies из более чем 40 различных браузеров, включая Chrome, Firefox, Edge и множество их нишевых форков. Также он ищет на диске файлы популярных криптовалютных кошельков, таких как Exodus, Coinomi и Atomic Wallet, и крадёт данные из браузерных расширений для работы с блокчейном, например, MetaMask и Trust Wallet.
Помимо сбора данных, SectopRAT обеспечивает злоумышленникам полный контроль над заражённой машиной. Он включает в себя функции кейлоггера для перехвата нажатий клавиш, возможность делать скриншоты экрана и выполнять произвольные команды через встроенную оболочку (shell). Наиболее опасной возможностью является поддержка скрытого удалённого рабочего стола (HVNC). Эта технология позволяет атакующему взаимодействовать с системой жертвы в фоновом режиме, оставаясь невидимым для пользователя, что открывает путь для дальнейшего проникновения в корпоративную сеть или проведения финансовых операций.
Отдельного внимания заслуживает механизм обеспечения устойчивости командного центра. Помимо основного сервера с IP-адресом 179.61.145[.]140, троянец использует резервный канал управления через блокчейн Binance Smart Chain (BSC). Если основной C2 становится недоступен, вредоносная программа обращается к публичным RPC-нодам BSC и считывает резервный адрес из данных смарт-контракта. Такой подход значительно затрудняет нейтрализацию угрозы путём блокировки инфраструктуры, так как децентрализованные сети блокчейна практически не поддаются цензуре.
Данная атака наглядно иллюстрирует тренд на использование социальной инженерии, ориентированной на конкретные увлечения пользователей. Игровая индустрия, особенно сегмент инди-разработок и цифровой дистрибуции, становится плодотворной почвой для таких атак из-за высокого уровня доверия внутри коммьюнити и большого количества неофициальных источников загрузки. Последствия для жертвы могут быть крайне серьёзными: от потери учётных записей в играх и соцсетях до кражи средств с криптокошельков и банковских карт, привязанных к браузерам. Для организаций, чьи сотрудники используют рабочие компьютеры для развлечений, подобный инцидент может стать вектором для проникновения в корпоративную сеть.
Эксперты подчёркивают, что защита от подобных угроз требует комбинации технических мер и осведомлённости пользователей. Ключевыми являются использование репутационных сервисов для проверки файлов, анализ поведения процессов с помощью EDR-систем, а также принцип минимальных привилегий для учётных записей. Пользователям же следует проявлять особую бдительность при загрузке файлов, даже из, казалось бы, тематических и доверенных сообществ, и всегда отдавать предпочтение официальным магазинам и платформам дистрибуции.
Индикаторы компрометации
IPv4
- 179.61.145.140
Domains
- dns-providersa2.com
- main45.b-cdn.net
- statmanagers3.com
MD5
- 253f7fef0c2c960b491e199bf838fd28
- 4fbe9a06ae1992584eafd53bb5b2ef77
- 98234cf7e92ae98a36bb321a3c5b55f1
- ffe2ff47c84b19f4e30b83fadf9da510
