قراصنة يخفون فيروس Argamal الجديد للتحكم عن بُعد داخل ألعاب للبالغين تعمل بكفاءة

يوزع قراصنة الإنترنت في هجمات نشطة فيروساً جديداً للتحكم عن بُعد (RAT) يُدعى Argamal، وذلك عبر إخفائه داخل ألعاب للبالغين (Hentai) تعمل بكفاءة تامة. يمنح هذا البرنامج الخبيث، الذي اكتشفته شركة Kaspersky في أبريل 2026، المهاجمين سيطرة كاملة على أنظمة الضحايا بينما يستمرون في اللعب دون إثارة أي شكوك.

عادةً ما تمنحك عمليات الاحتيال عبر الإنترنت ملفاً تالفاً لا يفتح. لكن هذه التنزيلات المصابة تتضمن ألعاباً تعمل بالكامل ومبنية على أنظمة شائعة مثل RenPy أو RPG Maker. تعمل اللعبة تماماً كما تريد، لذا لن تدرك أبداً أن جهازك يخضع لسيطرة شخص آخر.

- شركة Kaspersky

يتم توزيع هذه الملفات الخبيثة عبر منصات مشاركة الملفات مثل PixelDrain ومواقع التورنت مثل AniRena. ونظراً لأن الألعاب تعمل بشكل لا تشوبه شائبة، يمكن أن تستمر الإصابة لأشهر قبل أن يلاحظ المستخدم أي نشاط غير مصرح به على جهازه.

بمجرد تنزيل أرشيف اللعبة وتشغيله، يتم تفعيل نسخة ملغمة من ملف مكتبة قياسي يُعرف باسم FFmpeg DLL، إلى جانب ملف ثانوي يحمل اسم natives2_blob.bin. يُحمّل هذا الملف في ذاكرة النظام دون إثارة أي شاشات تحذيرية، وينفذ فوراً نصاً برمجياً عبر أداة PowerShell.

للتهرب من الاكتشاف، يتحقق النص البرمجي أولاً من وجود أدوات المراقبة مثل Sandboxie أو Procmon64. إذا بدت البيئة آمنة، يدخل البرنامج الخبيث في حالة خمول لمدة ثلاثة أيام. وبمجرد انتهاء فترة الانتظار، تفتح مهمة مجدولة وتستخدم أداة أصلية في نظام Windows لجلب الحمولة الخبيثة.

bitsadmin.exe

تقوم هذه الأداة بتنزيل ملف مشفر (zaesdl.dat) من منصة GitHub. ثم يفك الفيروس تشفيره باستخدام معيار AES-CBC لإنشاء الوحدة الأساسية لفيروس حصان طروادة (Trojan). ولضمان البقاء في الجهاز، يستخدم فيروس Argamal تقنية اختطاف كائنات التكوين (COM hijacking)، حيث يعدّل إدخالات السجل (Registry) لميزة أصلية تُعرف باسم أداة تحميل معايرة ألوان النظام (Windows Color System Calibration Loader). ونظراً لأن هذه الميزة تعمل في كل مرة يسجل فيها المستخدم الدخول، يبدأ الفيروس بالعمل تلقائياً مع كل جلسة جديدة.

بمجرد تنشيطه، يرسل فيروس Argamal تحديثات (UDP heartbeats) إلى خوادم يتحكم فيها المهاجمون، مما يتيح لهم سرقة الملفات، وقراءة المحادثات الخاصة، وجمع البيانات المالية، وتبديل عناوين المحافظ الرقمية، وحتى بث مقاطع فيديو حية. لتأمين جهازك، اتبع الخطوات التالية:

• تجنب المصادر غير الموثوقة: توقف عن تنزيل الألعاب من المواقع غير الموثوقة وشبكات التورنت مثل AniRena.
• تفعيل الفحص النشط: تأكد من استخدام برامج أمان توفر حماية في الوقت الفعلي (Real-time security) قادرة على اكتشاف النصوص البرمجية المحملة في الذاكرة.
• مراقبة حركة الشبكة: افحص سجلات الشبكة بحثاً عن اتصالات غير مصرح بها تتصل بنطاقات خبيثة مثل asper1.freeddns.org و Winst0.kozow.com.

يسلط نشر فيروس Argamal الضوء على تطور معقد في تكتيكات الهندسة الاجتماعية (Social Engineering). من خلال دمج الحمولة الخبيثة داخل ألعاب تعمل بالكامل، يزيل المهاجمون الشكوك الفورية التي تتبع عادةً الملفات التالفة. علاوة على ذلك، يُعد التأخير المتعمد لمدة ثلاثة أيام قبل تنزيل الحمولة من منصة GitHub خطوة مدروسة لتجاوز نوافذ التحليل الآلي في البيئة المعزولة (Sandbox) الأمنية القياسية.

تكشف بيانات شركة Kaspersky عن مئات الإصابات التي تتركز بشكل أساسي في روسيا، والبرازيل، وألمانيا، وفيتنام، بينما يشير تحليل الأكواد البرمجية (Code) إلى أن المهاجمين يتحدثون الإسبانية. والأهم من ذلك، تمت برمجة الفيروس لتجنب استهداف المستخدمين في الصين بشكل صريح. هذا الاستبعاد الجغرافي، إلى جانب استخدام أدوات النظام المشروعة مثل bitsadmin.exe، يشير إلى عملية موجهة بدقة تهدف إلى حصاد بيانات الاعتماد المسروقة (Stolen Credentials) والأصول الرقمية بهدوء، دون إثارة غضب وكالات الأمن السيبراني الكبرى.