Исследователи Kaspersky GReAT обнаружили новую вредоносную кампанию с трояном удалённого доступа Argamal. Злоумышленники распространяли его под видом игр для взрослых, через тематические сайты, торрент-трекеры и игровые форумы.
Цель кампании — домашние пользователи Windows. Расчёт на людей, которые скачивают неофициальные сборки игр, архивы с файлообменников, моды или «дополнения» с форумов.
Argamal относится к RAT — Remote Access Trojan, троян удаленного доступа. После заражения он позволяет атакующему управлять устройством, выполнять команды, загружать дополнительные файлы, красть данные и использовать компьютер жертвы для новых действий.
Схема заражения следующая: пользователь скачивал архив с игрой. Внутри лежали настоящие игровые файлы, поэтому игра запускалась и работала. Рядом находилась изменённая библиотека ffmpeg.dll, нужная игре для нормальной работы. При запуске игры эта библиотека автоматически подгружалась и запускала вредоносную цепочку.
Вредоносный код не сразу переходил к основной нагрузке. Сначала запускалась DLL с именем natives2_blob.bin, которая выполняла PowerShell-скрипт, закодированный в Base64. Этот первый этап проверял, не запущен ли образец в исследовательской среде. Среди признаков искались Sandboxie и процесс Procmon64.
Если проверка проходила успешно, вредонос закреплялся в системе и откладывал следующий этап. Argamal создавал переменные окружения с ещё одним PowerShell-скриптом, менял ключи реестра и ставил запланированную задачу с запуском через три дня. Такая задержка нужна, чтобы усложнить анализ: пользователь уже забыл о скачанной игре, а песочница исследователя может не дождаться основной активности.
На втором этапе скрипт загружал с GitHub зашифрованную полезную нагрузку zaesdl.dat, сохранял её как settings.dat, расшифровывал через AES-CBC и записывал в DLL-файл в случайной поддиректории %AppData%\Local. После этого троян закреплялся через COM hijacking — перехват COM-объекта Windows.
Технически Argamal подменял значение InprocServer32 для компонента Windows Color System Calibration Loader. Этот компонент связан с системной задачей \Microsoft\Windows\WindowsColorSystem\Calibration Loader, которая запускается при входе пользователя в систему. В результате вредоносный код автоматически стартовал при каждой новой сессии Windows.
Kaspersky пишет, что кампания затронула сотни устройств частных пользователей. Больше всего заражений зафиксировали в России, Бразилии, Германии и Вьетнаме. В некоторых публикациях фигурирует доля России — 38% всех детектов.
Исследователи нашли несколько каналов доставки. Основной — сайты с каталогами игр для взрослых, где рядом со скриншотами размещались ссылки на скачивание через PixelDrain. Это легитимный файлообменник, который часто используют и обычные пользователи, и злоумышленники. Дополнительно зараженные архивы распространялись через торрент-трекеры, включая AniRena. Ещё один вариант — файл на игровом форуме, замаскированный под чит.
Инфраструктура кампании тоже менялась. В отчёте указаны домены asper1[.]freeddns[.]org, country1[.]ignorelist[.]com, Winst0[.]kozow[.]com и IP-адрес 186[.]158.223.35. Часть полезной нагрузки доставлялась через GitHub-репозитории, что помогает атакующим прятаться среди легитимного трафика и не поднимать собственную заметную инфраструктуру.
Комментарии в коде, имена переменных и отдельные элементы JavaScript на сайтах доставки указывают, что разработчики цепочки, вероятно, говорят по-испански. Argamal активно менялся во время исследования. Появлялись новые функции, исправлялись ошибки, менялась инфраструктура. Это значит, что речь идёт о живом проекте, который авторы продолжают развивать.
Опасность Argamal не ограничивается кражей паролей. RAT с полным контролем над системой может превращать домашний компьютер в точку доступа для дальнейших атак: с него можно воровать cookie, сессии браузера, криптокошельки, файлы, переписку, документы, данные игровых и почтовых аккаунтов. Также заражённую машину можно использовать как прокси, бот или промежуточную точку для новых операций.
Отдельная проблема — стыд и молчание жертв. Игры 18+ выбраны не случайно. Пользователь, который скачал такой архив с торрента, с меньшей вероятностью пойдёт жаловаться в поддержку, писать на форум или рассказывать администратору домашнего компьютера, что именно запускал. Для атакующих это удобно: меньше публичных жалоб, расследований, больше времени до обнаружения.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
