Pobranie „darmowej” gry z torrenta albo z linku podrzuconego na forum to wciąż jeden z najprostszych sposobów, by samemu wpuścić przestępcę do swojego komputera. Dobitnie przypomina o tym najnowsze odkrycie zespołu Kaspersky GReAT: nowy trojan zdalnego dostępu (RAT) o nazwie Argamal, który rozprzestrzenia się ukryty w instalatorach gier dla dorosłych. Złośliwe paczki trafiały do ofiar przez dedykowane strony z linkami przekierowującymi na usługę PixelDrain oraz przez trackery torrentowe, w tym AniRena. Infekcje wykryto już między innymi w Rosji, Brazylii, Niemczech i Wietnamie — ofiary liczone są w setkach, a kampania wciąż trwa.
Jak działa Argamal
Najciekawsze — i najbardziej niepokojące — jest to, jak sprytnie ten trojan ukrywa swoją obecność. Po uruchomieniu gra faktycznie działa, więc ofiara nie nabiera podejrzeń. W tle Argamal najpierw sprawdza, czy nie został uruchomiony w maszynie wirtualnej lub piaskownicy, jakich używają analitycy bezpieczeństwa. Jeśli wykryje takie środowisko, przechodzi w stan uśpienia i nie robi nic podejrzanego — w ten sposób próbuje przechytrzyć automatyczne systemy analizy złośliwego oprogramowania.
Kiedy uzna, że działa na prawdziwym komputerze, zapisuje w systemie ukryte parametry, maskuje ścieżki do swoich bibliotek DLL i celowo opóźnia własne uruchomienie. Dopiero po około trzech dniach zainfekowana maszyna łączy się z GitHubem, pobiera zaszyfrowany plik, odszyfrowuje go i zamienia w pełnoprawnego trojana. Ta zwłoka to nie przypadek — chodzi o to, by zatrzeć związek między momentem instalacji gry a pojawieniem się złośliwej aktywności i utrudnić ofierze połączenie faktów.
Co potrafi po przejęciu
Po pełnej aktywacji Argamal daje napastnikom zdalną kontrolę nad urządzeniem. Może wykradać pliki i dane osobowe, przechwytywać zapisane w przeglądarce hasła oraz inne poświadczenia, a także wykonywać dowolne polecenia na komputerze ofiary. W praktyce oznacza to dostęp do logowań do bankowości, skrzynki pocztowej, kont w grach czy portfeli kryptowalut — a stąd już prosta droga do kradzieży pieniędzy i tożsamości. Wykorzystanie GitHuba i PixelDrain jako infrastruktury sprawia dodatkowo, że ruch sieciowy trojana wygląda na pierwszy rzut oka niewinnie.
Jak się chronić
Najskuteczniejsza obrona jest też najprostsza: nie instaluj oprogramowania z nieznanych źródeł. Spiratowane gry, „cracki”, keygeny i instalatory z torrentów to klasyczny nośnik malware’u — oszczędność na licencji potrafi skończyć się wyczyszczonym kontem bankowym.
Korzystaj z aktualnego pakietu antywirusowego z ochroną w czasie rzeczywistym. Choć Argamal stosuje techniki omijania analizy, renomowane silniki (jak ten od Kaspersky’ego, który go wykrył) potrafią rozpoznać taki ładunek.
Zwróć uwagę na nietypowe zachowanie komputera kilka dni po instalacji nowego programu — nagłe spowolnienie, podejrzany ruch sieciowy czy nieznane procesy. Pamiętaj, że wiele trojanów celowo „budzi się” z opóźnieniem.
Włącz dwuskładnikowe uwierzytelnianie wszędzie, gdzie się da, i nie przechowuj wszystkich haseł w przeglądarce — lepszym wyborem jest menedżer haseł z osobnym hasłem głównym.
Podsumowanie
Argamal to przypomnienie, że najgroźniejszy malware często nie wdziera się do systemu siłą — to my sami go zapraszamy, klikając „pobierz” na pirackiej stronie. Trzydniowe opóźnienie, omijanie piaskownic i pobieranie ładunku z GitHuba pokazują, jak bardzo dopracowane bywają dziś nawet kampanie wymierzone w zwykłych użytkowników. Zasada pozostaje niezmienna: instaluj wyłącznie oprogramowanie z legalnych, zaufanych źródeł i trzymaj włączony antywirus. To znacznie tańsze niż konsekwencje jednej nieostrożnej instalacji.
źródło: https://securelist.com/argamal-rat-distributed-with-hentai-games/119999/