Эксперты Kaspersky GReAT обнаружили новую вредоносную кампанию, в рамках которой злоумышленники распространяют ранее неизвестный троянец удаленного доступа Argamal под видом игр категории «18+». Вредоносное ПО уже было выявлено на устройствах сотен пользователей в России, Бразилии, Германии, Вьетнаме и ряде других стран, а на РФ пришлось около 38% всех зарегистрированных случаев заражения, говорится в поступившем в «Газету.Ru» пресс-релизе «Лаборатории Касперского».
Схема атаки начинается со скачивания пользователем архива с зараженной игрой. После запуска на устройство устанавливается скрытый модуль, который в течение нескольких дней остается неактивным. Затем он загружает дополнительный компонент, обеспечивающий злоумышленникам полный удаленный контроль над системой.
После компрометации устройства Argamal способен выполнять широкий спектр действий, включая создание скриншотов, управление курсором, сбор и передачу файлов на удаленные серверы, а также перезагрузку или отключение системы по команде операторов.
Исследователи установили, что зараженные файлы распространялись через специализированные сайты с игровым контентом, где ссылки на скачивание вели на файлообменный сервис PixelDrain. Кроме того, вредоносные сборки распространялись через торрент-трекеры и игровые сообщества.
В отдельных случаях вредоносный код интегрировался непосредственно в файлы игр или загружался через модифицированные компоненты программ. Также троянец маскировался под чит для популярной игры и распространялся через тематический форум.
«Злоумышленники регулярно используют контент, связанный с играми, и неофициальные площадки для распространения вредоносных программ, зная, что многие скачивают файлы из непроверенных источников. В ходе нашего анализа мы наблюдали, как вредоносная программа активно обновлялась, приобретая новые функции и претерпевая изменения в инфраструктуре. Это свидетельствует о том, что кампания продолжается и, вероятно, будет развиваться дальше», — заявил руководитель Kaspersky GReAT в России Дмитрий Галов.
На основании технических особенностей кода и комментариев внутри вредоносного ПО эксперты с умеренной степенью уверенности предполагают, что разработчики атаки могут быть испаноговорящими.
Решения «Лаборатории Касперского» детектируют угрозу под несколькими сигнатурами, включая Trojan.Win32.Termixia., Trojan.Win32.Agent., HEUR:Trojan.Win32.Argamal.gen и HEUR:Trojan-Downloader.Win32.Argamal.gen.
Специалисты рекомендуют пользователям скачивать программы исключительно из официальных источников, использовать современные средства защиты и включить отображение расширений файлов в Windows для более эффективного выявления подозрительных объектов.