Специалисты по кибербезопасности выявили вредоносный загрузчик RenEngine, который мог инфицировать свыше 400 000 компьютеров с Windows по всему миру. Его распространение происходит через нелегальные копии компьютерных игр.
Источник изображения: Xavier Cee / unsplash.com
Угроза была обнаружена аналитиками компании Cyderes — вредоносный код поставляется, среди прочего, с такими играми, как Far Cry, Need for Speed, FIFA и Assassin’s Creed. Зловреду дали название RenEngine loader — он встраивается в легальный установщик игрового движка Ren’Py. Эта угроза существует как минимум с апреля прошлого года и продолжает действовать; в октябре она получила значительное обновление, включающее модуль телеметрии и обращение к определённому адресу при каждом запуске. На основе данных с этого адреса исследователи оценили, что на текущий момент заражено более 400 000 устройств.
Каждый день вредонос фиксирует от 4000 до 10 000 новых жертв — наибольшее число пострадавших отмечается в Индии, США, Бразилии и России. Эксперты указали на веб-сайт, через который распространяются заражённые игры — этот ресурс уже был замешан в предыдущих кампаниях по распространению вредоносного программного обеспечения.
География распространения RenEngine. Источник изображения: cyderes.com
Загрузчик RenEngine стремится установить на компьютер программу-похититель данных ARC, которая собирает информацию, такую как «сохранённые в браузере пароли, файлы cookie, данные криптокошельков и автозаполнения, сведения о системе и содержимое буфера обмена». Через RenEngine loader также доставлялись и другие вредоносные модули, включая Rhadamanthys, Async RAT и Xworm — они применяются для хищения информации и удалённого контроля над ПК.
Из распространённых антивирусных решений на ранних стадиях атаки на RenEngine loader пока реагируют лишь Avast, AVG и Cynet. В остальных случаях при подозрении на заражение советуют воспользоваться инструментами восстановления Windows или выполнить чистую переустановку операционной системы.
