Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Построить дом, завести семью, лишиться паролей. Обновление для The Sims 4 оказалось шпионской программой

leer en español

Breakglass Intelligence APT-Q-27 GoldenEyeDog DigiCert MobSoft Sims 4 вредоносное ПО бэкдор
Построить дом, завести семью, лишиться паролей. Обновление для The Sims 4 оказалось шпионской программой
Breakglass Intelligence APT-Q-27 GoldenEyeDog DigiCert MobSoft Sims 4 вредоносное ПО бэкдор

Стандартные предупреждения защиты на этот раз просто не сработали. Но почему?

image

Киберпреступники всё чаще маскируют вредоносные программы не только под привычный пользователям софт, но и под видеоигры или инструменты для них. В новой кампании злоумышленники и вовсе подписали заражённый файл официальным цифровым сертификатом, чтобы снизить подозрения со стороны защитных систем и упростить запуск вредоносного кода на устройствах жертв.

7 апреля 2026 года специалисты Breakglass Intelligence обнаружили новую версию вредоносного файла «sims-4-updater-v1.4.7.exe», распространяемого под видом обновления для популярной видеоигры. В отличие от предыдущих вариантов, новый образец оказался подписан действующим сертификатом DigiCert, выданным южнокорейской компании MobSoft Co., Ltd всего за пять дней до появления файла в открытом доступе.

Анализ показал, что программа представляет собой бэкдор с элементами сложной обфускации и самораспаковки. Поведение и технические артефакты, включая уникальный мьютекс и записи в реестре, совпадают с инструментами группировки APT-Q-27, также известной под названиями GoldenEyeDog и Dragon Breath. Ранее эту группу связывали с атаками на игорный бизнес в Юго-Восточной Азии, однако теперь наблюдается смещение в сторону массовой аудитории геймеров.

Инфраструктура управления остаётся активной. Основной сервер находится на домене «lightindividual.com» с размещением в Далласе, рядом работает резервный узел. Для распространения файла используется ресурс «anadius.su», известный в сообществе любителей модификаций The Sims 4. Пока неясно, был ли скомпрометирован сайт или злоумышленники действуют через поддельную копию.

Отдельное внимание привлёк способ загрузки конфигурации. Вредоносный код обращается к сервисам вроде rentry и GitHub, используя их как «мёртвые дропы» для получения команд. Такой подход усложняет блокировку по доменам и требует анализа сетевой активности на уровне поведения.

Использование EV-сертификата стало ключевым изменением. Подписанный файл вызывает меньше подозрений у систем Windows и может обходить стандартные механизмы защиты. По данным отчёта, группировка уже применяла украденные или полученные обманом сертификаты, но в данном случае скорость — всего пять дней между выдачей и атакой — указывает на отлаженную схему.

Сейчас инициирован отзыв сертификата, а хостинг-провайдеры и администраторы задействованных сервисов получили уведомления. Одновременно специалисты проверяют, связан ли канал распространения с компрометацией популярного ресурса или речь идёт о целенаправленной подмене.