Команда Howler Cell Threat Research Team раскрыла масштабную и продолжающуюся кампанию по краже данных, которая с апреля 2025 года распространяется через пиратские версии популярных игр и уже затронула более 400 тысяч пользователей по всему миру. Злоумышленники используют ранее неизвестное семейство вредоносного ПО RenEngine Loader, встроенное в легитимные лаунчеры на базе движка Ren'Py, а также продвинутый загрузчик HijackLoader и финальный модуль ACR Stealer.
Главная особенность кампании — заражение через «крякнутые» и модифицированные инсталляторы игр, которые позволяют запускать коммерческие проекты бесплатно. Внешне такие сборки работают как обычные пиратские релизы, однако параллельно с ними на компьютер незаметно устанавливается вредоносный код. Среди скомпрометированных тайтлов фигурируют Far Cry, Need for Speed, FIFA и Assassin's Creed, распространяемые через популярные сайты с репаками и модами.По оценке исследователей, телеметрия, встроенная в RenEngine Loader, фиксирует в среднем порядка 5000 новых заражений в день, а общее число затронутых устройств превышает 400 000. Больше всего жертв зафиксировано в Индии, США, Бразилии и России, но атака носит глобальный характер. Кампания продолжает активно работать и в начале 2026 года, демонстрируя стабильный рост числа заражений.Атака построена по многоступенчатой схеме. На первом этапе жертва вручную скачивает пиратский установщик или мод и запускает «лаунчер» на Ren'Py, внутри которого спрятан RenEngine Loader. Он выполняет проверку окружения (в том числе RAM, объём диска, количество ядер CPU, наличие признаков виртуальной машины и песочницы), декодирует зашифрованную конфигурацию и расшифровывает следующий этап — модифицированный HijackLoader.HijackLoader в этой кампании использует целый набор техник уклонения: DLL‑сайдлоадинг, module stomping, process hollowing, process doppelgänging и подмену стека вызовов, что помогает вредоносным модулям маскироваться под легитимные процессы Windows. Загрузчик способен подгружать до нескольких десятков отдельных модулей, включая блоки проверки виртуализации (ANTIVMGPU, ANTIVMHYPERVISORNAMES, ANTIVMMACS), обход средств защиты, внедрение в процессы и создание обратной оболочки.Финальным этапом заражения становится запуск ACR Stealer — мощного стиллера, который собирает и отправляет на сервер злоумышленников сохранённые пароли и куки из браузеров, данные криптовалютных кошельков, содержимое буфера обмена, системную информацию и другие чувствительные данные.Эксперты отмечают, что эта цепочка заражения сильно отличается от «типичных» массовых стиллеров: злоумышленники сделали ставку не на эксплуатацию уязвимостей, а на социальную инженерию и доверие к пиратским релизам внутри соответствующих сообществ. Использование легитимного движка Ren'Py, упакованных архивов и сложных проверок среды делает вредонос заметно менее уязвимым для статического анализа и автоматических песочниц, а модульная архитектура позволяет быстро менять функциональность без перестройки всей схемы.Исследователи рекомендуют пользователям категорически отказаться от скачивания взломанных игр и модов с неофициальных сайтов, а также обновить антивирусные решения и обратить внимание на подозрительную активность: внезапные запросы к неизвестным доменам, появление новых процессов и странных файлов в папках ProgramData и AppData. Владельцам игровых PC советуют как минимум просканировать систему, если на ней когда‑либо запускались пиратские сборки Far Cry, Need for Speed, FIFA, Assassin's Creed и других крупных проектов из неофициальных источников.Источник новости: vgtimes.ru
