卡巴斯基全球研究与分析团队(GReAT)的研究人员发现了一种针对数百名成人游戏用户的新型远程访问木马(RAT)。这款被称为 Argamal 的恶意软件已经在俄罗斯、巴西、德国、越南以及许多其他国家被检测到。虽然此次攻击活动的主要目的是窃取数据和凭证,但该远程访问木马还赋予攻击者对受感染设备的完全远程控制权,使其能够执行各种恶意活动。
2026年4月,在常规遥测监测期间,卡巴斯基全球研究与分析团队发现了一场针对成人游戏(通常被称为“hentai 游戏”)玩家的新型恶意软件活动。该攻击活动利用植入了木马程序的游戏,将此前未知的恶意植入程序部署到受害者的设备上。该植入程序在潜伏数日后,会下载并执行另一个木马程序,最终导致系统完全被攻破,使攻击者获得了对受感染机器的广泛远程访问权限。
这些恶意游戏通过多种渠道进行传播。研究人员发现,有多个网站提供游戏截图,并附带下载链接,这些链接会将用户重定向至PixelDrain——一个合法但经常被滥用于传播恶意软件的文件分享服务。与此同时,这些植入木马的安装程序还通过包括AniRena在内的种子追踪器进行传播。在所有已观察到的案例中,受害者均下载了包含受感染游戏文件的压缩包。
该恶意压缩包内包含正常的游戏文件,以及一个被篡改过的、游戏运行所需的库文件。因此,当用户启动游戏时,恶意代码会自动执行,同时不影响正常的游戏体验,从而使感染过程不易被受害者察觉。
调查过程中,研究人员还发现了用于传播该远程访问木马的其他投送方式。在某些案例中,恶意载荷直接被嵌入到游戏文件中,并通过游戏附带的被修改过的组件进行加载。在另一起案例中,威胁行为者通过一个游戏论坛分发恶意文件,并将其伪装成游戏作弊工具。
“长期以来,网络犯罪分子一直滥用与游戏相关的内容和非官方软件安装程序来传播恶意软件,他们利用用户从未经核实的来源下载文件时往往缺乏警惕这一特点来实施攻击。分析过程中,我们观察到该恶意软件在持续更新,增加了新功能并更换了基础设施,这表明该恶意活动仍在进行中,并且很可能进一步演化。随着公开工具和自动化技术的日益普及,威胁行为者开发恶意软件变得更加容易和快捷。因此,用户应避免从非官方网站和平台下载软件,”卡巴斯基全球研究与分析团队俄罗斯和独联体地区负责人Dmitry Galov表示。
根据技术信息和代码中的注释,研究人员比较有把握地推测,该下载器链的开发人员可能是一名使用西班牙语的威胁行为者。
卡巴斯基解决方案将这种威胁检测为Trojan.Win32.Termixia.*, Trojan.Win32.Agent.*, HEUR:Trojan.Win32.Argamal.gen 和 HEUR:Trojan-Downloader.Win32.Argamal.gen。
更多有关Argamal恶意软件的详情,请访问securelist.com。
为了确保安全,卡巴斯基全球研究与分析团队专家建议用户:
·谨慎下载。仅从官方渠道或信誉良好的网站安装游戏和模组(Mod)会更安全。非官方来源可能包含恶意软件。
·在所有计算机和移动设备上使用强大的安全解决方案,例如卡巴斯基优选版。它会向您发出警告并防止任何感染。
·您可以在 Windows 设置中启用“显示文件扩展名”选项。这将使您更容易识别潜在的恶意文件。由于木马属于程序类文件,请务必警惕并远离“exe”、“vbs”和“scr”等文件扩展名。网络犯罪分子可能会利用多种扩展名,将恶意文件伪装成视频、照片或文档。
关于全球研究与分析团队
全球研究与分析团队(GReAT)成立于 2008 年,是卡巴斯基的核心部门,负责揭露 APT、网络间谍活动、重大恶意软件、勒索软件和全球地下网络犯罪趋势。目前,GReAT 由 40 多名专家组成,他们在欧洲、俄罗斯、美洲、亚洲和中东等全球范围内工作。这些才华横溢的安全专业人员为公司的反恶意软件研究和创新发挥着领导作用,他们以无与伦比的专业知识、热情和好奇心致力于发现和分析网络威胁。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全与数字隐私公司。凭借其网络免疫概念,卡巴斯基致力于推动行业创新,保护消费者、企业、关键基础设施及政府机构免受网络威胁。迄今为止,已有超过十亿台设备受到卡巴斯基的保护。
卡巴斯基确保“忠于业务”的网络安全,专注于提供明确的结果、保护营收、减轻工作负载并防止系统停机。卡巴斯基深厚的威胁情报和安全专业知识不断转化为适用于各种规模组织(从小型企业到大型企业)的创新解决方案和服务,将经过验证的 AI 驱动防护技术与简单的管理和专家支持相结合。
卡巴斯基广受独立测试机构认可,并获得全球数百万个人用户及近20万家企业的信赖。我们助力客户更早发现威胁、更快做出响应,并以更大的信心和自由度开展业务,从而保护客户最核心的价值。了解更多信息,请访问 www.kaspersky.com。
加载中,请稍侯......