Пользователи Windows столкнулись с новой угрозой: пиратские игры стали основным каналом распространения сложного вредоносного ПО, которое обходит системы защиты и полностью контролирует компьютеры. Исследователи кибербезопасности обнаружили, что даже установленные блокираторы рекламы не спасают от этой угрозы.
Как работает схема заражения
Исследователь из Trellix проанализировал схему распространения через платформу Dodi Repacks, которая позиционируется как «безопасная» на пиратских форумах. При попытке скачать последнюю добавленную игру пользователь проходит через серию редиректов, в конечном итоге получая ZIP-архив с вредоносным содержимым.
Ключевой элемент — DLL-файл размером более полгигабайта. Такой размер не случаен: он препятствует анализу в онлайн-сканерах и песочницах, которые обычно имеют ограничения на размер файлов. Внутри файла обнаружилась malicious-функция, запускающая скрипты для установки HijackLoader.
Важно понимать: всё это происходило при установленном adblocker uBlock Origin. Распространенное мнение о безопасности пиратского контента при использовании блокировщиков рекламы оказалось ложным.
Технические особенности HijackLoader
Как сообщает CyberPress, вредонос использует сложные методы анти-анализа:
- Проверка виртуальных машин через гипервизор и идентификаторы вендоров
- Анализ объема RAM и количества процессоров для обнаружения песочниц
- Верификация системных артефактов (имена пользователей, компьютеров)
После успешного прохождения проверок, loader обеспечивает персистентность через манипуляцию переменными среды, копирование компонентов в %APPDATA% и выполнение payload с кастомной логикой мьютексов.
Масштаб угрозы
По данным Zscaler, HijackLoader способен доставлять payloads второго этапа и предлагает различные модули для расширения возможностей malware. Среди распространяемых семейств:
- LummaC2 (основной payload в последнее время)
- Danabot, SystemBC, RedLine Stealer
- Tofsee, Remcos, Vidar, xWorm
- Rhadamanthys, StealC, XMRig, Amadey
Киберпреступники эффективно используют спрос на пиратские игры, превращая его в оружие массового заражения. Как констатирует CyberPress: «Вас предупредили».
По материалам Forbes.
Оставить комментарий