Троян Argamal: хентай-игры стали приманкой для установки программ-шпионов

Исследователи "Лаборатории Касперского" обнаружили новую вредоносную кампанию. Она нацелена на любителей игр для взрослых. Программу назвали Argamal. Она представляет собой троян удаленного доступа (RAT - класс вредоносных программ, дающих злоумышленникам полный контроль над устройством). Кампания развивается с 2024 года и уже заразила сотни пользователей по всему миру.

Описание

Злоумышленники распространяли заражённые версии игр через специализированные сайты. На них они размещали подборки со скриншотами и ссылками на скачивание. Кроме того, вредоносные архивы выкладывали на торрент-трекерах, включая AniRena. Архив с игрой содержал полностью работоспособные легитимные файлы. В него встроили модифицированную библиотеку FFmpeg (популярный фреймворк для работы с мультимедиа). Именно эта библиотека при запуске игры загружала вредоносный код из файла natives2_blob.bin.

При загрузке библиотеки исполнялся Base64-закодированный скрипт PowerShell (этап 1). Он проверял, не работает ли система в изолированной среде. Например, скрипт искал папку Sandboxie в Program Files. Если проверки проходили успешно, вредонос закреплялся в системе. Он использовал технику перехвата COM-объектов (COM hijacking - подмена записи реестра, отвечающей за загрузку DLL системы калибровки цвета Windows). Кроме того, скрипт создавал задачу в планировщике. Она запускалась через три дня и активировала второй скрипт (этап 2). Как сообщили специалисты "Лаборатории Касперского", этот скрипт загружал с GitHub зашифрованный файл zaesdl.dat. Он расшифровывал его с помощью алгоритма AES-CBC и помещал в системную папку. После этого скрипт удалял все следы своей активности.

Расшифрованная полезная нагрузка оказалась трояном удалённого доступа с широкими возможностями. Вредонос проверял список запущенных процессов на наличие антивирусных решений. В этот список входили продукты "Лаборатории Касперского", Avast, McAfee, BitDefender и ещё 36 вендоров. Для связи с командным сервером (C2 - центр управления) вредонос использовал домены asper1[.]freeddns[.]org и Winst0[.]kozow[.]com. Оба вели на IP-адрес 186.158.223.35. Троян отправлял UDP-пакеты на порт 57441. В них он передавал сведения о системе, времени работы и обнаруженных защитных решениях. В ответ сервер мог отдать команду на выполнение разных действий. Команды включали снятие скриншотов, запуск произвольных команд, управление мышью, архивацию файлов, удаление и загрузку данных. Троян мог даже перезагружать или выключать компьютер. Полный контроль над устройством позволял злоумышленникам красть любую информацию.

Помимо модификации FFmpeg, исследователи нашли другие способы доставки. В некоторых версиях главный вредоносный файл прятался в каталоге игры под именем libpython64.dat. Его загружала одна из легитимных библиотек, которую тоже патчили. Также злоумышленники выкладывали вредоносную DLL на игровом форуме под видом чита для игры.

По данным телеметрии, большинство жертв находятся в России, Бразилии, Германии и Вьетнаме. Анализ кода показал, что разработчик скриптов доставки, вероятно, говорит на испанском языке. В переменных и комментариях встречаются испанские слова. При этом полезная нагрузка игнорирует компьютеры с китайской локалью (zh-CN). Вероятно, это указывает на то, что злоумышленники используют разработки китайскоязычной группы. Однако авторы отчёта считают, что испаноязычный разработчик вряд ли связан с ней напрямую.

Кампания продолжает развиваться. Злоумышленники постоянно обновляют функциональность трояна. Они меняют инфраструктуру и добавляют новые возможности. Целью атак, вероятно, является кража учётных данных и другой конфиденциальной информации. Решения "Лаборатории Касперского" обнаруживают угрозу на ранних стадиях. Помогает поведенческий анализ и эвристические методы. Этот случай показывает, что даже безобидные на первый взгляд игры могут стать вектором для серьёзных кибератак. Пользователям стоит соблюдать осторожность при загрузке файлов из непроверенных источников.