Эксперты Kaspersky GReAT обнаружили новую вредоносную кампанию, в рамках которой злоумышленники распространяли троянец удалённого доступа Argamal под видом игр «18+». Подробностями с Rozetked поделились представители компании.
Вредоносное ПО было обнаружено на устройствах сотен пользователей в России (38% от всех случаев), Бразилии, Германии, Вьетнаме и других странах. После заражения троянец предоставляет злоумышленникам полный контроль над устройством жертвы, позволяя выполнять удалённые команды, похищать данные и осуществлять другие вредоносные действия.
- Как происходит заражение. Пользователь скачивает архив с заражённой игрой. При её запуске на устройство устанавливается вредоносный модуль. Выждав несколько дней, он загружает и запускает дополнительный троянец, что приводит к полной компрометации системы и даёт злоумышленникам широкие возможности удалённого управления устройством жертвы.
- Источники распространения. Эксперты компании обнаружили несколько сайтов, на которых были опубликованы скриншоты игр вместе со ссылками для скачивания, перенаправлявшими пользователей на PixelDrain — бесплатный файлообменник, который нередко используется злоумышленниками для распространения вредоносного ПО. Заражённые игры также распространялись через торрент-трекеры.
- Дополнительные способы распространения. В некоторых случаях вредоносный код встраивался непосредственно в файлы игры и загружался через модифицированные компоненты, входящие в её состав. В другом случае вредоносный файл был замаскирован под чит для игры, который распространялся через геймерский форум.
«В ходе нашего анализа мы наблюдали, как вредоносная программа активно обновлялась, приобретая новые функции и претерпевая изменения в инфраструктуре. Это свидетельствует о том, что кампания продолжается и, вероятно, будет развиваться дальше. Сегодня создание вредоносного ПО значительно упростилось благодаря широкой доступности подробных руководств, инструментов и средств автоматизации, поэтому мы рекомендуем скачивать любые программы только из официальных источников»— Дмитрий Галов, руководитель Kaspersky GReAT в России
С полной версией исследования семейства троянцев Argamal можно ознакомиться на сайте securelist.
Рекомендации «Лаборатории Касперского»:
- Установить надёжное защитное решение, эффективность которого подтверждается независимыми тестами.
- Включить опцию «Показывать расширения файлов» в настройках Windows. Злоумышленники могут использовать различные расширения, чтобы замаскировать вредоносный файл под видео, фотографию или документ. Особенно внимательно нужно относиться к файлам с расширениями exe, vbs и scr.
- Критически относиться к скачиванию программ и цифрового контента: лучше использовать для таких целей официальные ресурсы.