Security Week 2624: Trojan Escondido em Jogos Hentai Ameaça Usuários
Pesquisadores da Kaspersky Lab desvendaram a campanha de malware Argamal, que distribui um trojan de acesso remoto disfarçado em jogos hentai. A ameaça utiliza técnicas sofisticadas para execução e controle, visando centenas de usuários globalmente.
MundiX News·09 de junho de 2026·4 min de leitura·👁 8 views
Pesquisadores da Kaspersky Lab publicaram uma análise detalhada do malware Argamal, que está sendo distribuído em plataformas especializadas juntamente com jogos hentai. Esta campanha maliciosa foi descoberta este ano, embora alguns arquivos DLL relacionados já existissem desde pelo menos 2024. Os jogos com o componente malicioso eram geralmente carregados em um serviço público de compartilhamento de arquivos, com links publicados em sites temáticos. Eles também eram distribuídos através de trackers de torrent. Em todos os casos, tratava-se de um arquivo compactado contendo um jogo totalmente funcional, complementado por uma biblioteca ffmpeg.dll modificada.
O jogo carregava a biblioteca imediatamente após o início, o que resultava na execução automática do código malicioso. Na primeira fase, um script PowerShell era executado, realizando verificações básicas para detecção de ambientes virtuais. O script seguinte baixava um arquivo criptografado de um repositório no GitHub. Após a descriptografia, a execução automática deste programa malicioso era garantida através de uma técnica de interceptação de objetos COM. Neste caso, o valor de InprocServer32 para o componente DLL Windows Color System Calibration Loader era substituído. Esta tarefa é iniciada automaticamente quando o usuário faz login no sistema, garantindo assim a execução automática do malware.
O programa malicioso principal é um trojan de acesso remoto (RAT). Ele envia mensagens de 'heartbeat' para um servidor de comando e controle (C2) via protocolo UDP na porta 57441, transmitindo informações sobre as características do sistema, endereço IP do dispositivo, nome de usuário e o tempo decorrido desde a última atividade. Dados sobre soluções de segurança detectadas e o tempo de atividade do sistema desde o último boot também são transmitidos. Dependendo da resposta do servidor, as seguintes ações podem ser executadas no computador da vítima: execução de uma biblioteca DLL, abertura de um arquivo, coleta adicional de informações do sistema, execução de comandos arbitrários, exclusão de um arquivo. O trojan também pode entrar em um modo de operação expandido, que implementa controle total sobre o sistema: captura de screenshots, operações arbitrárias com arquivos, incluindo download e upload para o servidor C2, controle de teclado e mouse, incluindo o bloqueio do cursor para o usuário.
De acordo com a telemetria, o trojan Argamal é responsável por centenas de infecções em dispositivos localizados predominantemente na Rússia, Brasil, Alemanha e Vietnã. A análise de comentários no código e nomes de variáveis sugere que os desenvolvedores do programa malicioso falam espanhol. Uma característica notável de uma das variantes é o bloqueio do funcionamento do trojan se o idioma chinês 'zh-CN' estiver instalado no computador. Mais precisamente, neste caso, o endereço 127.0.0.1 era escolhido como endereço do servidor C2, o que impossibilitava o controle remoto. Os autores do relatório observam que o desenvolvimento de tais programas maliciosos se tornou significativamente mais fácil recentemente, o que indica a necessidade de detecção confiável de quaisquer novas variantes. E, novamente, não se pode deixar de notar que arquivos executáveis baixados de recursos públicos e executados voluntariamente pelos usuários têm uma alta probabilidade de estarem infectados.
Pesquisadores da Kaspersky Lab publicaram uma análise detalhada do malware Argamal, que está sendo distribuído em plataformas especializadas juntamente com jogos hentai. Esta campanha maliciosa foi descoberta este ano, embora alguns arquivos DLL relacionados já existissem desde pelo menos 2024. Os jogos com o componente malicioso eram geralmente carregados em um serviço público de compartilhamento de arquivos, com links publicados em sites temáticos. Eles também eram distribuídos através de trackers de torrent. Em todos os casos, tratava-se de um arquivo compactado contendo um jogo totalmente funcional, complementado por uma biblioteca ffmpeg.dll modificada.
O jogo carregava a biblioteca imediatamente após o início, o que resultava na execução automática do código malicioso. Na primeira fase, um script PowerShell era executado, realizando verificações básicas para detecção de ambientes virtuais. O script seguinte baixava um arquivo criptografado de um repositório no GitHub. Após a descriptografia, a execução automática deste programa malicioso era garantida através de uma técnica de interceptação de objetos COM. Neste caso, o valor de InprocServer32 para o componente DLL Windows Color System Calibration Loader era substituído. Esta tarefa é iniciada automaticamente quando o usuário faz login no sistema, garantindo assim a execução automática do malware.
O programa malicioso principal é um trojan de acesso remoto (RAT). Ele envia mensagens de 'heartbeat' para um servidor de comando e controle (C2) via protocolo UDP na porta 57441, transmitindo informações sobre as características do sistema, endereço IP do dispositivo, nome de usuário e o tempo decorrido desde a última atividade. Dados sobre soluções de segurança detectadas e o tempo de atividade do sistema desde o último boot também são transmitidos. Dependendo da resposta do servidor, as seguintes ações podem ser executadas no computador da vítima: execução de uma biblioteca DLL, abertura de um arquivo, coleta adicional de informações do sistema, execução de comandos arbitrários, exclusão de um arquivo. O trojan também pode entrar em um modo de operação expandido, que implementa controle total sobre o sistema: captura de screenshots, operações arbitrárias com arquivos, incluindo download e upload para o servidor C2, controle de teclado e mouse, incluindo o bloqueio do cursor para o usuário.
De acordo com a telemetria, o trojan Argamal é responsável por centenas de infecções em dispositivos localizados predominantemente na Rússia, Brasil, Alemanha e Vietnã. A análise de comentários no código e nomes de variáveis sugere que os desenvolvedores do programa malicioso falam espanhol. Uma característica notável de uma das variantes é o bloqueio do funcionamento do trojan se o idioma chinês 'zh-CN' estiver instalado no computador. Mais precisamente, neste caso, o endereço 127.0.0.1 era escolhido como endereço do servidor C2, o que impossibilitava o controle remoto. Os autores do relatório observam que o desenvolvimento de tais programas maliciosos se tornou significativamente mais fácil recentemente, o que indica a necessidade de detecção confiável de quaisquer novas variantes. E, novamente, não se pode deixar de notar que arquivos executáveis baixados de recursos públicos e executados voluntariamente pelos usuários têm uma alta probabilidade de estarem infectados.
