شرکت امنیت سایبری کسپرسکی یک کمپین پیشرفته و پنهانکارانه را شناسایی کرده است که در آن بدافزار آرگامال (Argamal malware) در قالب فایلهای نصبکننده بازیهای هنتای (hentai) از طریق سایتهای بزرگسالان و شبکههای تورنت (Torrent) توزیع میشود و برای مهاجمان امکان دسترسی از راه دور به سیستم قربانی را فراهم میکند. در این کمپین، بدافزار آرگامال با استفاده از تروجان دسترسی از راه دور (RAT) درون بازیهایی کاملاً سالم و قابل اجرا پنهان شده است. این بازیها با استفاده از موتورهایی مانند RenPy و RPG Maker ساخته شدهاند و کاملاً عادی و بدون هیچگونه خطا یا نشانه مشکوکی اجرا میشوند؛ بهگونهای کاربر در ظاهر یک بازی سالم را تجربه میکند، در حالیکه در پشت صحنه، کنترل سیستم او بهصورت مخفیانه در اختیار مهاجمان قرار میگیرد.
نحوه عملکرد بدافزار آرگامال
به گفته کسپرسکی، فایلهای مخرب از طریق پلتفرمهای مختلفی مانند سایتهای بازیهای بزرگسالان، سرویسهای اشتراکگذاری فایل مانند PixelDrain و همچنین وبسایتها و ردیابهای تورنت مانند AniRena توزیع میشوند. آرشیو بازی پس از دانلود و اجرا، یک نسخه دستکاریشده از کتابخانه استاندارد FFmpeg DLL را فعال میکند و همزمان فایل دیگری با نام natives2_blob.bin را نیز در حافظه بارگذاری میکند.
در این مرحله، کتابخانه آلوده بدون نمایش هیچ هشدار امنیتی در حافظه سیستم قرار گرفته و بهصورت مستقیم یک اسکریپت پاورشل (PowerShell) را اجرا میکند. اسکریپت برای دور زدن شناسایی، ابتدا محیط سیستم را بررسی کرده و بهدنبال ابزارهای مانیتورینگ مانند Sandboxie یا Procmon64 میگردد.
اگر سیستم از نظر مهاجم «ایمن» تشخیص داده شود، بدافزار آرگامال وارد فاز انتظار میشود. سه روز بعد، یک تسک زمانبندیشده (Scheduled Task) فعال شده و از ابزار bitsadmin.exe برای دانلود یک فایل رمزگذاریشده zaesdl.dat از گیتهاب استفاده میکند. سپس این فایل با استفاده از الگوریتم AES-CBC رمزگشایی شده و در نهایت ماژول اصلی تروجان ایجاد میشود.
مکانیزم پایداری بدافزار در سیستم
بدافزار آرگامال برای حفظ پایداری (Persistence) روی سیستم، از تکنیک ربایش COM یا به عبارتی COM Hijacking استفاده میکند و کلیدهای رجیستری مربوط به یک قابلیت واقعی ویندوز با نام Windows Color System Calibration Loader را تغییر میدهد. این کامپوننت سیستمی بهصورت پیشفرض در هر بار ورود کاربر به سیستم اجرا میشود؛ در نتیجه، بدافزار نیز همزمان و بهطور خودکار در هر نشست کاربری فعال شده و بدون نیاز به اجرای مجدد فایل اصلی، حضور خود را در سیستم حفظ میکند.
قابلیتهای مخرب بدافزار آرگامال
بدافزار آرگامال پس از فعال شدن روی سیستم، بلافاصله پیامهای وضعیت (heartbeat) را از طریق پروتکل UDP بهمنظور حفظ ارتباط و بهروزرسانی وضعیت به سرورهای مهاجم ارسال میکند. این سرورها روی دامنههایی مانند asper1.freeddns.org و Winst0.kozow.com میزبانی شدهاند.
این ارتباطِ پایدار، دسترسی و کنترلِ تمامعیار بر سیستم آلوده را برای مهاجمان فراهم کرده و عملاً دستگاه قربانی را تبدیل به ابزاری تحت فرمان از راه دور میکند. در این وضعیت، مهاجمان قادرند طیف گستردهای از فعالیتهای مخرب را اجرا کنند، از جمله:
- سرقت فایلها و دادههای ذخیرهشده روی سیستم
- دسترسی به پیامها و چتهای خصوصی کاربر
- جمعآوری اطلاعات مالی و حساس
- ثبت اسکرینشات از فعالیتهای کاربر
- جایگزینی آدرس کیفپولهای رمزارز برای سرقت داراییها
- پخش لایو تصویر از محیط دسکتاپ
در مجموع، این سطح از دسترسی نشان میدهد که این بدافزار عملاً یک تروجان دسترسی از راه دور (RAT) کامل است که میتواند بدون اطلاع کاربر، کنترل گسترده و پایدار روی سیستم ایجاد کند.
دامنه اهداف حمله و راهکارهای کاهش ریسک
کسپرسکی اعلام کرده است که تاکنون صدها کاربر در کشورهایی مانند روسیه، برزیل، آلمان و ویتنام به این بدافزار آلوده شدهاند. بررسی و تحلیل کد نیز نشان میدهد احتمالاً عاملان این کمپین به زبان اسپانیایی صحبت میکنند. نکته قابل توجه دیگر این است که بدافزار آرگامال بهطور هدفمند از آلودهسازی کاربران مستقر در چین اجتناب میکند.
با این حال، کارشناسان امنیت سایبری هشدار میدهند کاربرانی که به دانلود بازیهای هنتای علاقه دارند باید از دریافت فایلها از منابع نامعتبر یا وبسایتهای تأییدنشده خودداری کنند و برای کاهش ریسک آلودگی، از راهکارهای امنیتی مجهز به قابلیت محافظت بلادرنگ (Real‑time Protection) استفاده کنند.
