Стефанія А. Автор Стефанія А.
Новини 7 Червня 2026 3 хв читання

Argamal RAT у грі

Редакційне зображення ZIP-архіву гри, що скидає Argamal RAT і файли закріплення у Windows.

У новому розслідуванні описано Argamal, Windows-троян віддаленого доступу, який поширюють через троянізовані завантаження ігор для дорослих. Практичний ризик не в тематиці гри, а в схемі архіву: користувач переходить за посиланням, отримує ZIP-пакет, запускає гру, а змінений ланцюжок бібліотек тихо завантажує RAT.

Цю кампанію варто сприймати як інцидент після запуску підозрілого архіву. Securelist пов’язує доставку з редиректами через PixelDrain, торрентами на AniRena, зміненим ffmpeg.dll, файлом natives2_blob.bin, PowerShell і закріпленням через COM-шлях Windows Color System Calibration Loader. Якщо ви запускали такий архів, не перевіряйте його повторно.

Кому треба перевірити ПК

Перевірте Windows, якщо нещодавно завантажували гру, чит, патч або архів з торренту, файлового хостингу, форуму чи неофіційного каталогу і помітили такі ознаки:

  • ZIP-архів з додатковим розпакуванням, паролем або лаунчером поза типовою папкою гри;
  • ffmpeg.dll чи інші медіабібліотеки в підозрілій ігровій папці;
  • natives2_blob.bin, невідомий PowerShell або нові файли у публічних чи тимчасових шляхах Windows;
  • новий автозапуск, дивні вихідні з’єднання або сповіщення безпеки з назвою Argamal чи загальною RAT/Trojan-детекцією;
  • дивну поведінку браузера, Discord, ігрових, поштових або платіжних акаунтів після запуску архіву.

Що Argamal змінює у Windows

Ознака з дослідженняЧому це важливо
Редиректи PixelDrain і торренти AniRenaЗараження починається ще на етапі завантаження, тому видалення лише видимого лаунчера може бути недостатнім.
Змінений ffmpeg.dllЗнайома назва бібліотеки може маскувати завантаження шкідливого коду.
natives2_blob.bin і PowerShellДругий етап може з’явитися вже після видимого запуску гри, тому швидкий ручний огляд ненадійний.
COM-закріплення через Windows Color System Calibration LoaderRAT може переживати перезавантаження не через простий ярлик Startup, а через підміну компонента Windows.
Поведінка трояна віддаленого доступуПісля запуску зловмисник може керувати системою, переглядати файли, красти сесії та готувати додаткове зараження.

Що зробити після запуску підозрілого архіву

  1. Від’єднайте ПК від мережі, якщо бачите невідомі процеси, повторні PowerShell-вікна або сповіщення про вихідні з’єднання.
  2. Видаліть оригінальний ZIP, розпаковану папку, лаунчер і пов’язані задачі торрент-клієнта чи менеджера завантажень.
  3. Перевірте папку гри на ffmpeg.dll, natives2_blob.bin, дивні DLL, скрипти або недавно змінені файли.
  4. Перегляньте Startup, Task Scheduler, Run-ключі та COM-закріплення, якщо маєте досвід. Якщо ні, не редагуйте реєстр вручну, а запустіть повне сканування.
  5. Виконайте повну перевірку Windows і використайте Gridinsoft Anti-Malware як другу думку для пошуку залишків RAT і підозрілого автозапуску.
  6. З чистого пристрою змініть паролі для ігрових сервісів, Discord, пошти, синхронізації браузера, хмарних сховищ, криптогаманців і платіжних акаунтів.
  7. Завершіть активні сесії там, де сервіс це дозволяє. Лише зміна пароля слабша, якщо викрадений cookie або токен ще діє.

Для схожих сценаріїв дивіться наш матеріал про Deno RAT у фейкових завантаженнях і приклад WeedHack у Minecraft-модах. Якщо підозрілий файл прийшов через дзвінок або віддалену підтримку, корисним буде також огляд Nimbus RAT через Teams.

FAQ

Argamal стосується тільки ігор для дорослих?

Поточне розслідування описує саме такі приманки, але захисний висновок ширший: неофіційні ігрові архіви, чити й repack-пакети можуть містити файли, що виглядають як звичайні компоненти гри.

Чи достатньо видалити гру?

Не завжди. У звіті описано поетапне завантаження і закріплення, тому треба видалити архів, просканувати систему, перевірити автозапуск і змінити паролі, якщо файл запускався.

Чи потрібно міняти паролі після Argamal?

Так, якщо підозрілий архів було запущено. Сприймайте це як ризик віддаленого доступу і викрадених сесій, особливо для акаунтів, що використовувалися у браузері цього профілю Windows.

Джерела

  1. Securelist. “Argamal: Malware hidden in hentai games,” опубліковано 3 червня 2026 року, дата звернення 7 червня 2026 року. https://securelist.com/argamal-rat-distributed-with-hentai-games/119999/
  2. Публічний пресреліз. “Argamal, a new malware hidden in games for adults,” опубліковано 3 червня 2026 року, дата звернення 7 червня 2026 року. https://www.kaspersky.com/about/press-releases/kaspersky-discovers-argamal-a-new-malware-hidden-in-games-for-adults
Стефанія А.
Автор Стефанія А.
Усі матеріали

Пишу про те, як зробити життя онлайн комфортним і безпечним. Вірю, що сучасний цифровий світ вартий того, щоб бути його частиною.