Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Argamal: Malware hidden in hentai games

1 minute de lecture

Mis à jour :

Argamal : Une campagne de logiciels malveillants dissimulée dans des jeux pour adultes

La campagne « Argamal » cible les joueurs de jeux « hentai » distribués via des sites spécialisés ou des trackers torrent. Ces jeux intègrent une bibliothèque DLL malveillante qui, lors du lancement du jeu, exécute un script PowerShell pour compromettre le système. L’objectif est l’installation d’un cheval de Troie d’accès à distance (RAT) permettant une prise de contrôle totale de la machine.

Points clés :

  • Vecteur d’infection : Jeux piratés ou modifiés, distribués via PixelDrain ou des sites de torrents (ex: AniRena).
  • Mécanisme de persistance : Utilisation du détournement de COM (COM Hijacking) en substituant une entrée de la DLL de chargement de calibration des couleurs de Windows (InprocServer32), garantissant une exécution automatique à chaque session.
  • Fonctionnalités du RAT : Exécution de commandes arbitraires, vol de données, capture d’écran, enregistrement de frappes, gestion de fichiers et accès complet au système.
  • Attribution : Les scripts et le code source contiennent des commentaires en espagnol, suggérant que le développeur parle cette langue.

Vulnérabilités :

  • Aucune CVE spécifique n’est mentionnée ; l’attaque repose sur l’ingénierie sociale (téléchargement de logiciels suspects) et l’exploitation de la légitimité des bibliothèques DLL chargées par les jeux (ex: ffmpeg.dll).

Recommandations de sécurité :

  • Téléchargement sécurisé : Éviter les plateformes de téléchargement non officielles, les trackers torrent douteux et les jeux distribués sur des forums de « cheats ».
  • Solutions antivirus : Utiliser des solutions de sécurité capables de détecter les comportements suspects et les heuristiques de menaces (Kaspersky détecte cette menace sous les signatures Trojan.Win32.Termixia.*, Agent.* et Argamal.gen).
  • Analyse comportementale : Surveiller les processus exécutant des scripts PowerShell suspects au démarrage ainsi que les modifications inattendues des clés de registre liées aux objets COM (HKCU\SOFTWARE\Classes\CLSID\).
  • Mise à jour : Maintenir le système et les logiciels de sécurité à jour pour bloquer les tentatives de persistance.

Source

Vous pourriez aimer