Специалисты по информационной безопасности из команды Howler Cell опубликували отчет о масштабной кибератаке, направленной на пользователей нелицензионного программного обеспечения. Злоумышленники используют модифицированные установщики известных видеоигр для скрытного внедрения вредоносного кода на компьютеры жертв. В список скомпрометированных проектов попали такие хиты, как Far Cry, Need for Speed, FIFA и Assassin’s Creed. Согласно данным исследователей, кампания активна как минимум с апреля 2025 года и продолжает набирать обороты, ежедневно поражая тысячи новых систем.
В основе схемы лежит программное обеспечение, получившее название RenEngine Loader. Хакеры прячут вредоносный код внутри файлов, имитирующих легитимный лаунчер на базе движка Ren’Py, который часто используется для создания визуальных новелл. Такой метод позволяет вирусу успешно маскироваться под обычное приложение и обходить многие автоматические системы защиты. После запуска на компьютере пользователя программа сначала проводит тщательную проверку окружения. Она анализирует объем оперативной памяти, размер жесткого диска, количество ядер процессора и запущенные процессы, чтобы убедиться, что не находится в виртуальной машине или песочнице антивирусных аналитиков.
Если проверка пройдена успешно, загрузчик расшифровывает и активирует следующий компонент атаки под названием HijackLoader. Этот инструмент использует продвинутые техники скрытия, включая подмену процессов и DLL-сайдлоадинг, чтобы незаметно внедрить в систему финальную полезную нагрузку. В текущей волне атак основным вредоносом выступает ACR Stealer. Программа предназначена для кражи конфиденциальных данных, включая сохраненные в браузерах пароли, файлы cookie, информацию банковских карт и содержимое криптовалютных кошельков. Вся собранная информация отправляется на удаленные серверы злоумышленников.
Масштаб заражения оценивается как критический. Анализ телеметрии показал, что жертвами кампании уже стали более 400 тысяч пользователей по всему миру. Ежедневно фиксируется около 5 тысяч новых подключений к серверам управления ботнетом. География атак охватывает множество регионов, при этом наибольшее количество пострадавших обнаружено в Индии, США, Бразилии и России.
Распространение угрозы происходит через популярные сайты с пиратским контентом, где пользователям предлагают скачать взломанные версии игр или моды. Исследователи отмечают, что многие антивирусы пока с трудом распознают эту цепочку заражения из-за ее модульной структуры и использования легитимных компонентов движка Ren’Py. Эксперты рекомендуют геймерам воздержаться от загрузки файлов из непроверенных источников, так как даже выглядящие рабочими установщики могут незаметно инсталлировать шпионское ПО.