Весной 2026 года эксперты из Kaspersky GReAT выявили свежую вредоносную кампанию. В рамках этой атаки злоумышленники распространяли ранее неизвестный троян удалённого доступа под названием Argamal, маскируя его под игры для взрослых. Вредоносное ПО было зафиксировано на устройствах сотен пользователей из России, Бразилии, Германии, Вьетнама и ряда других стран. После проникновения троян даёт хакерам полный доступ к устройству жертвы, позволяя выполнять команды удалённо, красть данные и совершать прочие зловредные операции. При этом 38% всех случаев обнаружения Argamal пришлось на территорию РФ.
Как происходит заражение. Пользователь загружает архив с инфицированной игрой. При её запуске на устройство попадает ранее не известный вредоносный модуль. Выждав несколько дней, он скачивает и активирует дополнительный троян, что ведёт к полной компрометации системы и открывает злоумышленникам широкие возможности для удалённого управления устройством жертвы. В зависимости от полученных инструкций Argamal способен выполнять различные действия на заражённом устройстве: делать снимки экрана, управлять курсором, упаковывать файлы в архивы и отправлять их на серверы хакеров, а также перезагружать или выключать систему.
Источники распространения. Специалисты компании обнаружили несколько сайтов, где были размещены скриншоты игр вместе со ссылками для загрузки, которые перенаправляли пользователей на PixelDrain — бесплатный файлообменник, часто используемый злоумышленниками для распространения вредоносного ПО. Кроме того, заражённые игры распространялись через торрент-трекеры.
Дополнительные способы распространения. В некоторых случаях вредоносный код встраивался прямо в файлы игры и загружался через изменённые компоненты, входящие в её состав. В другом варианте вредоносный файл был замаскирован под чит для игры, который распространялся через геймерский форум.
«Злоумышленники регулярно используют игровой контент и неофициальные площадки для распространения вредоносных программ, зная, что многие скачивают файлы из непроверенных источников. В ходе нашего анализа мы заметили, что вредоносная программа активно обновлялась, приобретая новые возможности и меняя свою инфраструктуру. Это указывает на то, что кампания продолжается и, скорее всего, будет развиваться и дальше. Сегодня создание вредоносного ПО стало гораздо проще благодаря широкому доступу к подробным руководствам, инструментам и средствам автоматизации, поэтому мы рекомендуем загружать любые программы только из официальных источников», — отметил Дмитрий Галов, руководитель Kaspersky GReAT в России.
Опираясь на технические данные и комментарии в коде, исследователи с умеренной степенью уверенности полагают, что разработчики этой вредоносной цепочки могут быть носителями испанского языка.
Продукты «Лаборатории Касперского» выявляют эту угрозу под названиями Trojan.Win32.Termixia.*, Trojan.Win32.Agent.*, HEUR:Trojan.Win32.Argamal.gen и HEUR:Trojan-Downloader.Win32.Argamal.gen.
«Лаборатория Касперского» советует пользователям: установить надёжную защитную программу, чья эффективность подтверждена независимыми испытаниями, например, Kaspersky Premium; активировать функцию «Отображать расширения файлов» в параметрах Windows — это заметно облегчит выявление потенциально опасных файлов. Киберпреступники могут применять разные расширения, чтобы замаскировать вредоносный файл под видео, изображение или документ. Особое внимание стоит уделять файлам с расширениями exe, vbs и scr; с осторожностью подходить к загрузке программ и цифрового контента: для этих целей лучше обращаться к официальным источникам.
