Security Week 2624: троян в хентай-играх

Вот важная новость с фронта ИИ: Kaspersky_Lab 2 часа назад Security Week 2624: троян в хентай-играх 4 мин 3. 6K Блог компании «Лаборатория Касперского» Информационная безопасность * Исследователи «Лаборатории Касперского» опубликовали подробный разбор вредоносного ПО Argamal, распространяемого на специализированных ресурсах вместе с хентай-играми. Данная вредоносная кампания была обнаружена в этом году, хотя некоторые связанные с ней DLL-файлы существовали как минимум с 2024 года.

Игры с вредоносным довеском, как правило, заливались на публичный файлообменник, ссылки на который публиковались на тематических веб-сайтах. Распространялись они и через торрент-трекеры. Во всех случаях это был архив с полностью функциональной игрой, которая дополнялась модифицированной библиотекой ffmpeg.

Технические детали

Игра подгружала библиотеку сразу после старта, что автоматически приводило к запуску вредоносного кода. На первой стадии запускался скрипт PowerShell, который выполнял базовые проверки на выполнение в виртуальной среде. Следующий скрипт подгружал из репозитория на GitHub зашифрованный файл.

После расшифровки обеспечивался автоматический запуск этой вредоносной программы с помощью техники перехвата COM-объектов. В данном случае подменялось значение InprocServer32 для DLL-компонента Windows Color System Calibration Loader. Эта задача автоматически запускается при входе пользователя в системе, что и обеспечивает автоматический запуск вредоносного ПО.

Основная вредоносная программа представляет собой троян удаленного доступа. Он отправляет на командный сервер heartbeat-сообщения по протоколу UDP на порт 57441, в которых передается информация о характеристиках системы, IP-адрес устройства, имя пользователя и время, прошедшее с момента его последней активности. Также передаются данные об обнаруженных защитных решениях, времени работы системы после последней загрузки.

Отраслевые последствия

В зависимости от ответа сервера, на компьютере жертвы могут быть выполнены следующие действия: запуск DLL-библиотеки, открытие файла, дальнейший сбор информации о системе, выполнение произвольных команд, удаление файла. Троян может также перейти в расширенный режим работы, в котором реализован уже полный контроль над системой: сохранение скриншотов, произвольные операции с файлами, включая скачивание и загрузку на командный сервер, контроль клавиатуры и мыши, включая блокировку курсора для пользователя. По данным телеметрии, троян Argamal ответственен за сотни заражений на устройствах, расположенных преимущественно в России, Бразилии, Германии и Вьетнаме.

Анализ комментариев в коде и имен переменных позволяет предположить, что разработчики вредоносной программы говорят на испанском языке. Отдельной особенностью одного из вариантов является блокировка работы трояна, если на компьютере установлена китайская локаль zh-CN. Точнее, в этом случае в качестве адреса командного сервера выбирался адрес 127.

1, что делало невозможным удаленное управление.

Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.