Компания Malwarebytes рассказала о новой схеме мошенничества, затрагивающей игровую платформу Itch.io. Злоумышленники пользуются доверием между игроками и инди-разработчиками, создавая поддельные страницы популярных игр — например, Archimoulin. Мошенники отправляют личные сообщения с зараженных аккаунтов на доверенных площадках вроде Discord, чтобы повысить вероятность перехода по ссылке.
Эта ссылка ведет на поддельную страницу, размещенную на поддоменах Blogspot или в облачных хранилищах, с интерфейсом, копирующим дизайн itch.io. Некоторые версии мошеннических страниц даже содержат поддельное окно входа в Discord — чтобы украсть учетные данные и затем использовать их для рассылки спама от имени жертвы.
На фальшивой странице игрок видит кнопку загрузки, но вместо игры скачивается файл, обычно называемый Setup Game.exe. Программа не показывает никаких окон или индикаторов установки — это сделано специально, чтобы скрыть активность.
Исполняемый файл запускает PowerShell с закодированной командой, которая выполняет вредоносный скрипт прямо в памяти. Такой подход помогает обойти антивирусы, проверяющие файлы, а также использует трюк .NET для сокрытия окна PowerShell.
Чтобы не дать пользователю понять, что происходит, скрипт принудительно закрывает популярные браузеры (Chrome, Brave, Firefox, Edge, Opera) с помощью команды taskkill, мешая искать информацию о проблеме или прерывать установку.
Этот вирус — стейджер (загрузчик), который не связывается с сервером сразу. Он сначала проверяет окружение — ключи реестра, BIOS, сетевые параметры — чтобы убедиться, что запущен на реальном устройстве, а не в песочнице. Когда проверки пройдены, он скачивает основную полезную нагрузку: это могут быть бэкдоры, кейлоггеры или майнеры криптовалюты.
Malwarebytes советует немедленно сменить все пароли — на Discord, почте, Steam — с чистого устройства, а также включить двухфакторную аутентификацию.
Нужно выйти из всех активных сессий, отозвать доступ у сторонних приложений и отключить зараженный компьютер от сети.
Если вы обеспокоены этой атакой, обращайте внимание на неожиданные личные сообщения со ссылкой на загрузку игры, отсутствие интерфейса установщика и странное поведение, например, сбой браузера или появление неожиданных папок. Если вы пострадали от этого конкретного вредоносного ПО, рекомендуется полностью переустановить Windows.
Угрозы безопасности
• Поддельные страницы сервиса itch.io крадут аккаунты геймеров и устанавливают вредоносное ПО
• Google не будет исправлять атаку ASCII Smuggling в Gemini — уязвимы также DeepSeek и Grok
• Steam и Microsoft предупреждают об уязвимости в Unity, которая подвергает геймеров риску атак
• Discord подтвердил утечку данных через стороннего подрядчика: украдены личные данные и изображения удостоверений личности
• Инструмент EDR-Freeze позволяет отключать антивирусы через систему отчетов Windows
• Проверенная игра в Steam украла пожертвования у стримера, собиравшего средства на лечение