Исследователи «Лаборатории Касперского» опубликовали подробный разбор вредоносного ПО Argamal, распространяемого на специализированных ресурсах вместе с хентай-играми. Данная вредоносная кампания была обнаружена в этом году, хотя некоторые связанные с ней DLL-файлы существовали как минимум с 2024 года.

Игры с вредоносным довеском, как правило, заливались на публичный файлообменник, ссылки на который публиковались на тематических веб-сайтах. Распространялись они и через торрент-трекеры. Во всех случаях это был архив с полностью функциональной игрой, которая дополнялась модифицированной библиотекой ffmpeg.dll.

Игра подгружала библиотеку сразу после старта, что автоматически приводило к запуску вредоносного кода. На первой стадии запускался скрипт PowerShell, который выполнял базовые проверки на выполнение в виртуальной среде. Следующий скрипт подгружал из репозитория на GitHub зашифрованный файл. После расшифровки обеспечивался автоматический запуск этой вредоносной программы с помощью техники перехвата COM-объектов. В данном случае подменялось значение InprocServer32 для DLL-компонента Windows Color System Calibration Loader. Эта задача автоматически запускается при входе пользователя в системе, что и обеспечивает автоматический запуск вредоносного ПО.

Основная вредоносная программа представляет собой троян удаленного доступа. Он отправляет на командный сервер heartbeat-сообщения по протоколу UDP на порт 57441, в которых передается информация о характеристиках системы, IP-адрес устройства, имя пользователя и время, прошедшее с момента его последней активности. Также передаются данные об обнаруженных защитных решениях, времени работы системы после последней загрузки.

В зависимости от ответа сервера, на компьютере жертвы могут быть выполнены следующие действия: запуск DLL-библиотеки, открытие файла, дальнейший сбор информации о системе, выполнение произвольных команд, удаление файла. Троян может также перейти в расширенный режим работы, в котором реализован уже полный контроль над системой: сохранение скриншотов, произвольные операции с файлами, включая скачивание и загрузку на командный сервер, контроль клавиатуры и мыши, включая блокировку курсора для пользователя.

По данным телеметрии, троян Argamal ответственен за сотни заражений на устройствах, расположенных преимущественно в России, Бразилии, Германии и Вьетнаме. Анализ комментариев в коде и имен переменных позволяет предположить, что разработчики вредоносной программы говорят на испанском языке. Отдельной особенностью одного из вариантов является блокировка работы трояна, если на компьютере установлена китайская локаль zh-CN. Точнее, в этом случае в качестве адреса командного сервера выбирался адрес 127.0.0.1, что делало невозможным удаленное управление. Авторы отчета отмечают, что разработка подобных вредоносных программ в последнее время значительно упростилась, что говорит о необходимости надежного детектирования любых новых вариантов. Ну и вновь нельзя не отметить, что скачиваемые с публичных ресурсов и добровольно запускаемые пользователями исполняемые файлы с высокой вероятностью могут быть заражены.

Что еще произошло

Еще одна публикация экспертов «Лаборатории Касперского» рассказывает о результатах эксперимента по массовому сканированию Wi-Fi-сетей в местах проведения Чемпионата мира по футболу в Мексике. Хотя подавляющее большинство беспроводных сетей имеют базовый уровень защищенности, как минимум поддерживая протокол безопасности WPA2, от 40 до 46% точек доступа (в зависимости от города) поддерживают функцию WPS. Последняя не только упрощает подключение к сети, но и может снижать защищенность роутера. Пожалуй, самый интересный факт в исследовании: больше 95% точек доступа работали в диапазоне 2,4 гигагерца. Это косвенно говорит о довольно низкой безопасности сетей, будь то публичные, провайдерские или частные сети, просто по факту повсеместного использования дешевого и устаревшего оборудования. И прямо намекает на то, что Wi-Fi у гостей Чемпионата будет работать не очень хорошо, тем более что подавляющее большинство (более 65%) роутеров работали только на трех каналах (1-м, 6-м и 11-м) диапазона 2,4 ГГц из 11 возможных для Северной Америки.

В обновлении браузера Google Chrome до версии 149 закрыты рекордные 429 уязвимостей, включая одну уязвимость нулевого дня. Для сравнения, в предыдущей версии Chrome 148 была пропатчена 151 уязвимость.

Вредоносная кампания, нацеленная на взлом веб-сайтов на движке WordPress, использует необычный метод передачи данных о командном сервере — соответствующая информация публикуется в комментариях к профилю пользователя в сервисе Steam. Еще одно исследование показывает, что тысячи взломанных веб-сайтов теперь используют для атак типа ClickFix — когда жертву под предлогом прохождения капчи заставляют выполнить в терминале произвольный код.

В роутерах для развертывания mesh-сети Acer Wave 7 обнаружены две критические уязвимости, являющиеся классическими примерами грубых ошибок разработчика. В одном случае данные для доступа к устройству через веб-интерфейс и Telnet сохраняются открытым текстом в лог-файл, доступ к которому возможен удаленно. Вторая уязвимость представляет собой фиксированный криптографический ключ, использование которого также позволяет получить контроль над роутером удаленно. Патча для двух проблем на момент публикации нет, ожидается в конце июня 2026 года.

Google предлагает бороться с мошенничеством, при котором используется подмена телефонного номера и (часто) сгенерированный нейросетью голос. Такой сценарий регулярно задействуется в атаках на бизнес: когда, например, сотруднику звонит генеральный директор с «правильного» номера и похожим голосом требует перевести средства на определенный счет. Решение Google заключается в добавлении слоя авторизации через протокол Rich Communication Services: аутентичность звонка проверяется путем отправки технического сообщения на реальный телефон. Если тот автоматически не подтверждает, что прямо сейчас звонит абоненту, потенциальной жертве выводится предупреждение.