Вредоносный мод Resident Evil заразил ПК стиллером и RAT

В распоряжении редакции оказался детальный отчёт о киберинциденте, который начался с обычного желания установить мод к популярной игре и едва не закончился полной компрометацией цифровой жизни жертвы. Вредоносная кампания, скрывавшаяся за безобидным архивом на GitHub, оставалась незамеченной около двух недель, использовала продвинутые техники маскировки и сочетала в себе функциональность коммерческого stealer и Trojan remote access tool (RAT).

Первые признаки: безобидный dllhost.exe, которого не ждали

Расследование началось с выявления подозрительного процесса dllhost.exe. Известно, что легитимный компонент Windows с таким именем отвечает за работу COM-объектов, однако в данном случае поведение процесса категорически не соответствовало норме. Попытка скрыться за стандартным системным исполняемым файлом — классический приём маскировки, и он сработал лишь до первого поверхностного анализа.

Окончательно вредоносная природа была подтверждена после трассировки зашифрованных аргументов командной строки, которые явно указывали на запуск сторонней, тщательно обфусцированной нагрузки. Ни о каком легитимном взаимодействии с COM речь уже не шла.

Хронология и цепочка заражения

Отследив корень угрозы, аналитики восстановили полную картину проникновения:

  • 4 июня 2026 года — загрузка вредоносного файла Chapter.Skip.zip, замаскированного под игровой мод для Resident Evil и размещённого на скомпрометированном легитимном веб-сайте.
  • Этап 1 — Batch-загрузчик: архив содержал начальный batch file, который через PowerShell инициировал скрытую установку окружения Node.js. Это позволило незаметно выполнить JavaScript-код, отвечающий за запуск основного загрузчика на базе Python.
  • Этап 2 — Python staging tree: в профиле пользователя развернулось зашифрованное Python staging tree. Сам загрузчик был защищён с помощью PyArmor, что серьёзно затруднило статический анализ и позволило вредоносу продолжительное время оставаться незамеченным.
  • Этап 3 — Постоянство: злоумышленники позаботились о закреплении в системе, прописав постоянный Python-загрузчик, способный переживать перезагрузки и восстанавливать связь с командным центром.

Активные процессы вредоносного ПО были обнаружены и принудительно завершены вскоре после выявления подозрительной активности, однако за почти две недели скрытого присутствия ущерб уже мог быть нанесён.

Функциональность: stealer, RAT и скрытый канал через Cloudflare Tunnel

Защищённый PyArmor-загрузчик подтягивал дополнительные модули, нацеленные на массовый сбор конфиденциальной информации из браузеров. В перечень целей входили:

  • сохранённые пароли (под угрозой оказались более 400 учётных записей);
  • файлы cookie и данные сессий, позволяющие обходить двухфакторную аутентификацию;
  • криптографические кошельки и конфигурации популярных приложений.

Malware демонстрировало расширенную функциональность, характерную для коммерческих образцов класса stealer/RAT. В частности, зафиксированы возможности перечисления устройств веб-камер, что открывало дорогу к скрытому наблюдению. Дополнительную тревогу вызвало динамическое взаимодействие с сервисом, напоминающим Backblaze, а также использование туннеля Cloudflare Tunnel для организации канала удалённого управления. Именно через этот канал, предположительно, осуществлялся доступ по протоколу hVNC, позволяющий злоумышленникам интерактивно управлять рабочим столом жертвы, не вызывая подозрений.

Майнер-призрак и связь с Akira Stealer

Одним из самых неожиданных поворотов расследования стало подозрение на присутствие в рамках того же скомпрометированного процесса dllhost.exe скрытого Monero miner. Косвенные признаки указывали на фоновую майнинговую активность, однако прямые улики, однозначно связывающие payload stealer с mining activity в рамках единой сборки, на момент подготовки отчёта окончательно подтверждены не были.

Значительно увереннее эксперты говорят о вероятной связи с семейством Akira Stealer. Выявленные пересечения сигнатур, специфические поведенческие паттерны и отдельные участки кода обладают высокой степенью сходства с этим известным вредоносным инструментом, что позволило провести обоснованную атрибуцию.

Контекст и выводы: цена доверия к случайным архивам

Инцидент в очередной раз обнажил опасность слепого доверия к программному обеспечению из непроверенных источников, особенно в средах, где логирование и защитные меры были настроены недостаточно жёстко. Злоумышленники намеренно эксплуатировали интерес аудитории к популярному игровому тайтлу, а многоуровневая архитектура вредоносной цепочки позволила обходить базовые антивирусные решения в течение длительного времени.

«Данный случай — хрестоматийный пример того, как современные угрозы избегают детектирования, смешивая легитимные инструменты вроде Node.js и PowerShell с самописными загрузчиками. Пользователь видит только желаемый мод, а на деле получает полноценный шпионский конструктор с возможностью бесшумного удалённого управления. Именно многослойность и эксплуатация доверия к игровым модам делают эту атаку особенно опасной», — отметил ведущий аналитик, комментируя сложность реальных инцидентов, которые редко ограничиваются одним типом угрозы.

Итоговая рекомендация остаётся неизменной: жёсткое сегментирование прав, обязательное логирование подозрительных процессов, изоляция игровых и экспериментальных машин от критичных рабочих сред и тотальное недоверие к файлам из неподтверждённых репозиториев, каким бы многообещающим ни казался их функционал.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: