NordVPN разоблачает мошенничество с предзаказом GTA 6, поскольку угроза вредоносного ПО возрастает перед датой релиза

Команда специалистов по анализу угроз NordVPN обнаружила всплеск вредоносного ПО, использующего ажиотаж вокруг предзаказа GTA VI

Поддельные бета-ключи, троянские репаки и фишинговые сайты для сбора учетных данных заполонили Интернет в преддверии ноябрьского релиза

Исследовательское подразделение NordVPN, занимающееся анализом угроз, выявило вредоносные программы и мошеннические кампании, использующие предвкушение выхода GTA VI. Когда появились слухи о скором открытии предварительных заказов, участники угроз решили воспользоваться ажиотажем. Они развернули поддельные программы установки, рекламное ПО Android и фишинговые страницы, нацеленные на пользователей ПК и мобильных устройств - платформ, для которых GTA VI изначально не будет доступна.

Кампании охватывают множество типов атак, от троянов с боковой загрузкой DLL, спрятанных в поддельных репаках игр, до сложного пакета рекламного ПО Android, выдающего себя за "GTA 6 Beta", а также сотни любительских фишинговых сайтов, нацеленных на учетные данные Rockstar Social Club.

"GTA VI - один из самых ожидаемых релизов в истории игр, а такой уровень общественного возбуждения - это именно то, что ищут преступники", - говорит Мариус Бриедис, технический директор NordVPN. "Когда люди отчаянно пытаются получить ранний доступ к чему-либо, их бдительность ослабевает. Это и есть то окно, которым пользуются злоумышленники"

Поддельные бета-ключи и ловушки с подпиской

NordVPN обнаружил множество мошеннических сайтов, обещающих эксклюзивные бета-ключи для консолей PS5 и Xbox Series. Механика проста, но эффективна: пользователи заполняют короткую форму, затем проходят через этап проверки ботом и направляются на подписку на платные услуги или загрузку потенциально нежелательных приложений (PUA). Нацеливаясь на пользователей ПК и мобильных устройств с обещаниями бета-доступа к консоли, мошенники используют как любопытство, так и FOMO.

Троянские репаки, нацеленные на пользователей Windows

Угрожающие лица используют клоны известных пиратских сайтов и сайтов репаков, включая поддельные версии FitGirl, DODI и ElAmigos, для распространения вредоносного ПО, замаскированного под игровые файлы для Windows.

Один из проанализированных образцов, обнаруженный 17 мая 2026 г., показывает, насколько убедительными могут быть эти подделки. Вредоносный пакет выдает себя за легитимный установщик игры. Когда пользователь запускает его, в фоновом режиме тихо активируется скрытый вредоносный файл, замаскированный под стандартный компонент графического драйвера NVIDIA, чтобы не вызывать подозрений.

После этого он может изменять память устройства, загружать дополнительные вредоносные программы и подключаться к внешним серверам для получения дальнейших инструкций. Загрузка была отслежена до домена, который был зарегистрирован всего за 23 дня до обнаружения атаки - обычный признак инфраструктуры, созданной специально для недолговечных вредоносных кампаний.

Android рекламное ПО, маскирующееся под "GTA 6 Beta"

Поддельное приложение Android, распространяемое под названием "GTA 6 Beta", - еще одно прикрытие в той же кампании. Приложение представляет собой пустую оболочку, на которой изображен подлинный бренд Rockstar Games и показан вступительный ролик, а затем пользователям предлагается загрузить дополнительные данные. Никакой реальной игры внутри нет.

Когда приложение запущено, оно беззвучно показывает полноэкранную рекламу и перенаправляет пользователей на внешние страницы, которые вынуждают их подписаться на платные услуги или загрузить дополнительные вредоносные программы, маскируясь под поддельные шаги верификации человеком.

Чтобы избежать обнаружения, приложение использует несколько методов уклонения и скрывает свой веб-трафик, чтобы скрыть, куда оно на самом деле направляет пользователей. В конечном счете, след ведет к домену с задокументированной историей распространения инфохищников, банковских троянов, рекламного ПО и программ-вымогателей как на Android, так и на Windows.

Любительский фишинг, нацеленный на учетные записи Rockstar Social Club

Помимо более спланированных кампаний, NordVPN отследил сотни любительских фишинговых страниц, нацеленных на учетные данные Rockstar Social Club через поддельные формы входа в систему. Эти сайты часто размещаются на легальных платформах, таких как GitHub и Vercel, используя репутацию доверенной инфраструктуры, чтобы обойти основные фильтры безопасности без каких-либо затрат для злоумышленника.

Скомпрометированные учетные записи могут быть перепроданы на "темных" интернет-площадках или использованы для внутриигрового мошенничества. Многие из этих страниц также функционируют как точки распространения вредоносного ПО, используя поддельные кнопки загрузки и обещания эксклюзивного контента GTA VI для доставки рекламного ПО, инфохищников и троянов.

Как оставаться в безопасности

Мариус Бриедис советует геймерам и поклонникам GTA VI следующее:

Избегайте сторонних сайтов для загрузки любого игрового контента. Легальные игровые файлы распространяются исключительно через официальные магазины, такие как PlayStation Store, Xbox Marketplace или собственная платформа Rockstar. Любой неофициальный сайт должен быть воспринят как тревожный сигнал. Относитесь к предложениям бета-ключей со скептицизмом. Легальные бета-версии крупных игр анонсируются только по официальным каналам. Любой сайт, на котором Вас просят подтвердить свою личность или подписаться на какую-либо услугу, чтобы получить доступ, - это мошенничество, независимо от того, насколько убедительно он выглядит. Внимательно проверяйте URL-адреса перед входом в систему. Всегда проверяйте URL, прежде чем вводить свои данные для входа куда-либо. Официальные игровые платформы и магазины никогда не попросят Вас войти в систему через сторонний сайт.

Методология

В расследовании использовались методики разведки из открытых источников (OSINT), а полученные результаты были подтверждены и проверены путем перекрестных ссылок на собранные данные.

Основные стратегии сбора данных включали использование поисковых строк в основных поисковых системах, а также специализированных платформ для индексации доменов и устройств, подверженных воздействию Интернета, включая поисковые системы IoT и сервисы, подобные Shodan, такие как Fofa.io и Shodan.io. Статический и динамический анализ образцов вредоносного ПО был проведен для определения механизмов атаки, инфраструктуры и индикаторов компрометации.

Основная цель этого многоуровневого подхода была двоякой:

Получить максимально полный обзор цифровых объектов, участвующих в этих кампаниях. Точно определить скомпрометированные или активно вредоносные домены, не ограничиваясь теоретически уязвимой инфраструктурой.

Выводы основаны на проверенных данных, а периметр взломанных систем очерчен с максимально возможной точностью.