Вредоносная программа Urelas вернулась спустя 14 лет: старая угроза следит за корейскими карточными играми

Изначально компания Microsoft описала вариант Urelas.C ещё в 2012-м как троян, который отслеживал процессы определённых карточных игр и пересылал скриншоты вместе со сведениями о системе. В перечне тогда фигурировали baduki.exe, DuelPoker.exe, highlow2.exe, HOOLA3.EXE и poker7.exe. Спустя 14 лет этот же самый набор имён процессов по-прежнему актуален. Свежий образец вредоносной программы, датированный апрелем 2026 года, после запуска сбрасывает специальный файл состояния с инвертированными битами, отслеживает клиенты корейского покера и бадуги, а затем упаковывает обрезанные изображения игровых окон в формат JPEG/JFIF и отправляет их в виде записей 6003. Канал управления, как и раньше, пролегает через адресное пространство южнокорейских интернет-провайдеров, включая SK Broadband и DLIVE.

Масштаб активности в марте - апреле 2026 года впечатляет. Согласно анализу независимого исследователя, за период с 13 марта по 22 апреля было зафиксировано 3166 записей образцов, соответствующих 3142 уникальным хешам SHA256. Только за апрель по 22-е число включительно число уникальных хешей достигло 2311. Такая статистика говорит не о случайном всплеске, а о том, что семейство Urelas продолжает циркулировать и находит своих жертв. Это не единичная пыльная бинарная программа, а действующая угроза, которая заслуживает внимания.

Как именно функционирует этот троян? Исходный образец, полученный из специализированной песочницы Triage, порождает промежуточный исполняемый файл, затем файл golfinfo.ini, после чего запускает цепочку, ведущую к распакованному полезному payload (основной вредоносной нагрузке). Ключевой элемент - файл golfinfo.ini. Это вовсе не обычный конфигурационный INI-файл, а 512-байтовое состояние, в котором каждый байт инвертирован (так называемое bit-flip). После расшифровки первые четыре байта должны содержать сигнатуру MSMP. Если преобразование даёт именно это значение, программа принимает настройки. Извлечённая конфигурация содержит адреса командно-контрольных серверов: 218.54.30.235 и 121.88.5.183, а также порт 11120 для первого дочернего процесса. Однако динамический анализ показал, что в реальности задействован ещё один адрес - 121.88.5.184:11170, который отсутствует в расшифрованном файле golfinfo.ini, но жёстко прописан в коде первого дочернего модуля. Это усложняет обнаружение: если аналитик полагается только на файл конфигурации, он пропустит одну из трёх активных конечных точек.

Инфраструктура управления для данного образца концентрируется в сетях южнокорейских операторов. Основная часть трафика приходится на AS9318 (SK Broadband), реже используются AS7684 (Sakura Internet, Япония), AS10036 (DLIVE) и AS4766 (Korea Telecom). Всего зафиксировано около десятка IP-адресов, но ключевая тройка для этого образца - 121.88.5[.]183:11120, 121.88.5[.]184:11170 и 218.54.30[.]235:11120. Связь происходит по простому протоколу: сначала передаётся длина сообщения в формате big-endian (4 байта), затем тело записи. Среди типов записей особый интерес представляют 9000 (начальное состояние клиента), 6003 (захват изображения) и 6004 (последующее состояние). Тип 6003 - это и есть результат съёмки игрового окна, сжатый во встроенный JPEG-кодек.

Почему же Urelas нацелен именно на карточные игры? Дело в том, что в таких приложениях весь смысл сосредоточен на экране. Снимок окна показывает клиент, вид стола, тип игры, комнату, карты, размер ставок и часто учётную запись владельца. Никакие куки браузера не дадут такой полной картины. Поэтому авторы Urelas сохранили приверженность скриншотам, а не современным методам кражи данных. Их вредоносная программа - это, по сути, инструмент наблюдения за игровым столом. Она не пытается быть универсальным стилером с сотней функций, а остаётся узконаправленной, но эффективной в своей нише.

Для захвата изображений троян использует стандартные Windows API: GetWindowDC, CreateCompatibleBitmap, PrintWindow, BitBlt, GetDIBits. После получения скриншота он обрезает область окна до игровой зоны, затем преобразует 32-битные пиксели в 24-битные и сжимает во встроенный JPEG-кодек. Качество сжатия может варьироваться от 10 до 100. Кроме того, вредоносная программа содержит вспомогательную динамическую библиотеку HGDraw.dll, которая загружается из ресурса ZIP-архива. Эта DLL, скомпилированная ещё в 2013 году, предоставляет функции SetCommand, SetGameId, SetParentId, а также методы для получения буфера с данными захвата. Она активируется записями протокола 6001 (включение) и 6002 (отключение).

Закрепление в системе осуществляется через запись в реестре HKCU Software\Microsoft\Windows NT\CurrentVersion\Windows значение Run, что позволяет первому дочернему процессу запускаться при входе пользователя.

Для специалистов по информационной безопасности важно понимать, что Urelas - это не мёртвое семейство. Оно живо, активно распространяется и сохраняет свою исключительную направленность на корейские карточные платформы. Если в сети организации или на устройствах пользователей появляются подозрительные файлы golfinfo.ini, процессы highlow2.exe, poker7.exe, Baduki.exe или необычные соединения по указанным IP-адресам и портам, это может свидетельствовать о заражении. Мониторинг трафика к корейским сегментам интернета, а также проверка на наличие инвертированного 512-байтового файла конфигурации помогут выявить угрозу на ранней стадии.

Хотя Urelas не крадёт пароли и не шифрует файлы, его опасность в другом: утечка снимков игровых столов может привести к финансовым потерям, шантажу или раскрытию конфиденциальной информации, особенно если игра ведётся с реальными ставками. Поэтому даже такая "старая" программа заслуживает того, чтобы оставаться в списке актуальных угроз. Спустя 14 лет она не превратилась в антиквариат, а адаптировалась к современным сетевым условиям и продолжает выполнять свою узкую задачу. И пока на корейских игровых платформах крутятся виртуальные фишки и реальные деньги, Urelas будет находить своих жертв.

IPv4 Port Combinations

• 121.88.5.183:11120
• 121.88.5.184:11170
• 218.54.30.235:11120

SHA256

• 30d8dfd304a9f810e58facef95e8867cc9064fce96c9514e7b6660f46c888a4e
• 34e5dad664c9ab2d8ca5f05efaf737916ef2ec29448e322a578d042f856ee628
• 5149031bb8349fa8bae74cfac4964a4f5f589cb3d5d1ad9c1357dc2be572dd79
• 77e49b8b91127709ac2d32e0ea34a8e22813e6b7ea5ac93384cf4a6185b2af54
• c2c2346d9586e4c85b705050827eac2cabcf9ff11f5fad2e4f2a71bd4635044d
• d5149aea7c8264fb2f13435d8243331b1ce08f0bf53e12bb11bac01d11554ac7
• ec00df40306bf2c7c8bbf7256a976864bd286e7a190b9890a3c0fac7ab1d8adf
• f732d1c75d7aa387bb63f66b80a4247e7992cde1de02f2cf5110f520b1a939af