- 26,354
- 46
- 8 Ноя 2022
Зачем взламывать банк, если можно просто подсмотреть чужой расклад?
Вредоносные программы обычно стараются похитить пароли или деньги. Но Urelas выбрал куда более узкую нишу – он годами следит за карточными играми. Причём не за любыми, а за популярными южнокорейскими клиентами покера и бадуги. Ещё в 2012 году Microsoft описала вариант Urelas.C как троян , который отслеживал процессы карточных игр, делал снимки экрана и отправлял их на удалённый сервер вместе с данными системы. Тогда в списке целей фигурировали клиенты вроде baduki.exe, poker7.exe и других.
Спустя 14 лет схема почти не изменилась. Образец Urelas, обнаруженный в апреле 2026 года, по-прежнему ищет запущенные карточные игры, делает снимки окон и отправляет их на управляющие серверы. Программа следит за клиентами покера, бадуги и «хай-лоу», вырезает нужную часть окна и упаковывает изображения в формат JPEG перед тем как отправить.
Причём речь не о единичной находке. С середины марта по конец апреля зафиксировали более 3 тысяч образцов Urelas с уникальными хешами. Только за апрель набралось свыше 2,3 тысячи таких файлов. Активность сосредоточена вокруг инфраструктуры южнокорейских интернет-провайдеров, включая SK Broadband и DLIVE.
Urelas не пытается стать универсальным инструментом, который крадёт данные. Логика проще и уже: найти окно игры, сделать снимок, отправить. Для карточных игр этого достаточно. Вся информация о партии находится прямо на экране – карты, ставки, состояние стола и иногда данные учётной записи.
Вредоносная программа запускается в несколько этапов. Сначала создаёт промежуточный файл, затем – основной исполняемый модуль, а также скрытый файл конфигурации golfinfo.ini. Внутри хранится зашифрованное состояние с адресами серверов управления и служебными параметрами. После расшифровки программа подключается к нескольким узлам, среди которых 121.88.5.183 и 218.54.30.235.
Интересная деталь заключается в том, что один из адресов (121.88.5.184) отсутствует в конфигурации и зашит прямо в коде. Такой подход усложняет анализ и не даёт найти всю инфраструктуру.
Основная нагрузка – снимки экрана. Программа использует стандартные функции Windows, чтобы захватить изображение, затем обрезает нужную область и сжимает картинку. Полученные данные отправляются в виде специальных записей протокола, где изображения занимают центральное место.
Дополнительно Urelas загружает вспомогательную библиотеку HGDraw.dll. Внутри – код, который захватывает экран и которым можно управлять командами с сервера. По сути, это отдельный модуль, который ведёт слежку. В итоге перед нами редкий пример вредоносной программы, которая не стремится охватить всё подряд. Urelas решает одну задачу, но решает её годами без изменений: следит за карточными столами и передаёт происходящее на сервер. Судя по свежим данным, схема до сих пор работает.
Вредоносные программы обычно стараются похитить пароли или деньги. Но Urelas выбрал куда более узкую нишу – он годами следит за карточными играми. Причём не за любыми, а за популярными южнокорейскими клиентами покера и бадуги. Ещё в 2012 году Microsoft описала вариант Urelas.C как троян , который отслеживал процессы карточных игр, делал снимки экрана и отправлял их на удалённый сервер вместе с данными системы. Тогда в списке целей фигурировали клиенты вроде baduki.exe, poker7.exe и других.
Спустя 14 лет схема почти не изменилась. Образец Urelas, обнаруженный в апреле 2026 года, по-прежнему ищет запущенные карточные игры, делает снимки окон и отправляет их на управляющие серверы. Программа следит за клиентами покера, бадуги и «хай-лоу», вырезает нужную часть окна и упаковывает изображения в формат JPEG перед тем как отправить.
Причём речь не о единичной находке. С середины марта по конец апреля зафиксировали более 3 тысяч образцов Urelas с уникальными хешами. Только за апрель набралось свыше 2,3 тысячи таких файлов. Активность сосредоточена вокруг инфраструктуры южнокорейских интернет-провайдеров, включая SK Broadband и DLIVE.
Urelas не пытается стать универсальным инструментом, который крадёт данные. Логика проще и уже: найти окно игры, сделать снимок, отправить. Для карточных игр этого достаточно. Вся информация о партии находится прямо на экране – карты, ставки, состояние стола и иногда данные учётной записи.
Вредоносная программа запускается в несколько этапов. Сначала создаёт промежуточный файл, затем – основной исполняемый модуль, а также скрытый файл конфигурации golfinfo.ini. Внутри хранится зашифрованное состояние с адресами серверов управления и служебными параметрами. После расшифровки программа подключается к нескольким узлам, среди которых 121.88.5.183 и 218.54.30.235.
Интересная деталь заключается в том, что один из адресов (121.88.5.184) отсутствует в конфигурации и зашит прямо в коде. Такой подход усложняет анализ и не даёт найти всю инфраструктуру.
Основная нагрузка – снимки экрана. Программа использует стандартные функции Windows, чтобы захватить изображение, затем обрезает нужную область и сжимает картинку. Полученные данные отправляются в виде специальных записей протокола, где изображения занимают центральное место.
Дополнительно Urelas загружает вспомогательную библиотеку HGDraw.dll. Внутри – код, который захватывает экран и которым можно управлять командами с сервера. По сути, это отдельный модуль, который ведёт слежку. В итоге перед нами редкий пример вредоносной программы, которая не стремится охватить всё подряд. Urelas решает одну задачу, но решает её годами без изменений: следит за карточными столами и передаёт происходящее на сервер. Судя по свежим данным, схема до сих пор работает.
- Источник новости
- www.securitylab.ru
