Раньше подобные кампании считали редкой историей для случайных пользователей, теперь картина другая: злоумышленники целенаправленно прячут троян Argamal в игровых архивах и ждут, пока жертва сама запустит заражённый файл. По данным исследователей, больше всего пострадали пользователи из России — на них пришлось 38 % заражений.

Что произошло

Исследователи из «Лаборатории Касперского» обнаружили новую кампанию, в которой злоумышленники распространяют RAT Argamal через хентай-игры, торрент-трекеры и игровые форумы. Вредонос уже встречался на устройствах сотен пользователей в разных странах, включая Россию, Бразилию, Германию и Вьетнам.

Argamal — это троян удалённого доступа. После заражения он даёт атакующим почти полный контроль над системой: от запуска команд до кражи файлов и выключения компьютера.

Как работает заражение

Схема выглядит буднично и потому опасна. Пользователь скачивает архив с игрой, запускает файл и вместе с игрой получает скрытый вредоносный модуль.

Сначала троян может никак себя не выдавать. Через несколько дней он загружает дополнительную нагрузку и завершает заражение. В некоторых образцах вредоносный код уже был встроен прямо в игровые файлы, а в одном случае его спрятали под чит на форуме.

Исследователи также нашли сайты со скриншотами игр для взрослых и ссылками на загрузку. Файлы лежали на бесплатном файлообменнике, который злоумышленники часто используют для раздачи вредоносных программ. Подобная связка — архив, форум, неофициальная ссылка — давно стала типовой приманкой для атак на домашних пользователей и геймеров. Похожий сценарий мы уже разбирали в материале про WeedHack, который заразил игровые системы через поддельные моды.

Кого затронуло и чем это грозит

Главный риск — не сам факт заражения, а то, что Argamal умеет делать дальше. Троян делает скриншоты, управляет курсором, собирает сведения о защитном ПО, архивирует файлы и отправляет их на серверы операторов. Он также может перезагрузить или выключить систему.

По сути, речь идёт не о разовой краже файла, а о полном захвате домашнего или рабочего ПК. Для пользователя это оборачивается утечкой личных документов, переписок, паролей и других данных, а для компании — ещё и риском входа злоумышленников в корпоративные учётные записи.

Отдельный тревожный момент — длительность кампании. По данным исследователей, её следы тянутся как минимум с 2024 года. За это время злоумышленники меняли инфраструктуру, исправляли ошибки и добавляли новые функции.

На этом фоне особенно важно не терять бдительность даже к «обычным» загрузкам. Мы уже видели, как уязвимости и вредоносные кампании быстро усложняются: от атак через софт до компрометации рабочих сред, как в истории с нулевым днём в Cisco SD-WAN Manager.

Что делать прямо сейчас

Если вы скачиваете игры, моды или утилиты с форумов и торрентов, считайте такие файлы потенциально опасными. Один запуск может открыть злоумышленникам доступ к данным и устройству.

Для защиты приватности в открытых Wi-Fi и при работе с подозрительными сетями можно использовать средство шифрования трафика на личных устройствах, но оно не заменяет базовую гигиену безопасности и не спасёт от запуска заражённого архива.

Чек-лист

  • Скачивайте игры и программы только из официальных источников.
  • Не запускайте архивы и исполняемые файлы из форумов, трекеров и чатов.
  • Проверьте, включены ли обновления антивируса и системы.
  • Откройте список автозагрузки и удалите лишние программы, если уже запускали подозрительный файл.
  • Смените пароли, если после запуска подозрительного архива устройство начало вести себя странно.
  • Включите двухфакторную защиту для почты, облака и важных аккаунтов.
  • Сделайте резервную копию документов на внешний носитель или в надёжное облако.
  • Если вы используете публичные сети, не вводите там пароли от важных сервисов без дополнительной защиты соединения.
  • Сообщите администратору или специалисту по безопасности, если заражение могло затронуть рабочий компьютер.
Поделиться: