В апреле 2026 года мы обнаружили новую кампанию, нацеленную на любителей видеоигр. Злоумышленники внедряют в установочные файлы игр троян удаленного доступа под названием Argamal. Он умеет красть файлы и личные данные, дистанционно управлять компьютером и маскировать свое присутствие на устройстве. Рассказываем, как не стать жертвой нового трояна.
Как происходит заражение Argamal
Большинство зараженных игр распространяют через сайты с каталогами игр, а также через торрент-трекеры. Иногда пользователи скачивали архивы с файлообменников, на которые вели ссылки с игровых сайтов.
Любопытно, что внутри архива пользователь находит не файл-пустышку, как это часто бывает, а реальную игру, созданную на популярных игровых движках вроде Ren’Py и RPG Maker. Обычно зараженные пиратские версии оказываются разводом: когда игра не запускается, а внутри папки лежат файлы с непонятными расширениями, сложить два плюс два не так уж и сложно. Здесь же пользователь оказывается глубоко погружен в игровой процесс, который ему изначально и пообещали. Да и сам троян входит без стука и ведет себя предельно тихо.
Внутри архива, помимо легитимных файлов, находится модифицированная библиотека с вредоносом, необходимая для работы игры. Как только пользователь запускает игру, зараженный DLL-файл автоматически подгружается в память. При этом внешних признаков заражения нет: на фоне не всплывают никакие другие установщики, пугающие окна или просьбы отключить антивирус.
Вместо того чтобы сразу же приступать к краже файлов и паролей Argamal вначале проверяет, не находится ли он в виртуальной машине или «песочнице», и уходит в режим ожидания.
За это время вредонос записывает в систему скрытые параметры, прячет пути к своим DLL-файлам и откладывает свой запуск. Через три дня компьютер подключается к GitHub, скачивает зашифрованный файл, расшифровывает его и превращает в рабочий модуль трояна.
Чтобы вредонос запускался постоянно, злоумышленники закрепляют его в системную задачу WindowsColorSystem Calibration Loader — встроенную функцию Windows, которая срабатывает при каждом входе в систему и отвечает за загрузку цветовых профилей монитора. Перед завершением работы вредонос удаляет временные файлы и зачищает свои следы, чтобы его было сложнее заметить.
Чем опасен Argamal
Argamal — это троян удаленного доступа (RAT), с помощью которого злоумышленники могут удаленно управлять компьютером жертвы. Вот лишь небольшой список того, на что способен Argamal:
- запускать произвольные команды на компьютере;
- скачивать и запускать дополнительные файлы;
- проверять, установлен ли на ПК антивирус (кстати, наше защитное решение успешно распознает и вовремя обезвреживает Argamal);
- искать и выкачивать конфиденциальные данные в файлах и системных настройках;
- делать скриншоты и транслировать видеопоток с устройства;
- отправлять данные на свои серверы;
- следить за активностью пользователя;
- выключать или перезагружать устройство.
В конечном счете зараженный компьютер превращается в удаленно управляемую машину. Владелец при этом продолжает спокойно заниматься своими делами, даже не подозревая, что с его устройством что-то происходит. А последствия заражения тем временем могут быть весьма плачевными.
Например, кража одного-единственного пароля из текстовой заметки может привести к компрометации сразу нескольких аккаунтов: пользователи зачастую используют одни и те же данные для разных учетных записей. Именно поэтому мы рекомендуем хранить пароли не в текстовых файлах, а в зашифрованном контейнере менеджера паролей.
Помимо угона аккаунтов, троян позволяет в буквальном смысле шпионить за пользователем: прочитать личные переписки, залезть в секретные файлы. Эту ценнейшую информацию затем можно использовать для дальнейших атак, шантажа и вымогательства. О том, что делать, если вам написали вымогатели, мы рассказывали в нашей статье.
Другой распространенный сценарий — незаметная подмена или кража финансовых данных: например, перехват данных из банковских приложений или подмена адреса криптокошельков в буфере обмена, в результате чего все деньги поступают на счет злоумышленников.
В общем, вариантов, как эксплуатировать устройство жертвы и данные в нем, просто масса.
Как избежать встречи с Argamal
- Используйте защитное решение, которое распознает сложные вредоносы и работает в реальном времени. Несмотря на попытки злоумышленников сделать троян максимально незаметным, Kaspersky Premium моментально обнаруживает и удаляет Argamal с устройств пользователей.
- Не скачивайте установочные файлы и контент из сомнительных источников. Это практически гарантированный способ получить на свое устройство зловред. Но и на официальные площадки вроде Google Play и App Store, увы, зачастую пропускают зараженные приложения. Чтобы не беспокоиться, что вы случайно скачали троян или стилер, используйте Kaspersky Premium на всех ваших устройствах.
- Не передавайте лишних данных. Если игра требует от вас регистрацию, ввод персональных данных или привязку сторонних аккаунтов, это серьезный повод насторожиться. Конфиденциальные данные редко собирают просто так. В лучшем случае они попадут к маркетологам и рекламным трекерам, в худшем — окажутся у недоброжелателей, которые воспользуются информацией для шантажа, фишинга или взлома других ваших аккаунтов.
- Не кликайте на сомнительные рекламные баннеры. Если сдержать себя сложно, используйте защитное решение , которое заблокирует загрузку зловреда и переход на подозрительный сайт.