Eine neue Windows -Kampagne versteckt sich in raubkopierten PC-Spielen und manipulierten Installationsprogrammen für Spielereihen wie „Far Cry“, „Need for Speed“, „FIFA“ und „Assassin’s Creed“.
Forscher schätzen, dass weltweit mehr als 400.000 Geräte infiziert wurden, darunter etwa 30.000 Nutzer in den USA.
Die Infektionsmethode ist einfach und effektiv. Die Nutzer werden dazu verleitet, ein voll funktionsfähiges kostenloses Spiel zu installieren. Während das geknackte und neu gepackte Spiel scheinbar funktioniert, installiert sich die Malware unbemerkt im Hintergrund.
Der Schadcode wird als „RenEngine Loader“ bezeichnet und manchmal auch als „Ren’Py“ bezeichnet, da Teile des Schadcodes in einen legitimen Ren’Py-Launcher eingebettet sind, der zum Ausführen bestimmter Visual-Novel-Spiele verwendet wird. Wenn der Launcher ausgeführt wird, entpackt er die Spieledateien und startet heimlich die Infektionskette.
Ren’Py ist eine seriöse Open-Source-Engine für Visual Novels, die von Entwicklern genutzt wird, um storybasierte Spiele mit Text, Bildern, Ton und interaktiven Auswahlmöglichkeiten zu erstellen. Bei der Malware handelt es sich in diesem Fall nicht um Ren’Py selbst. Angreifer missbrauchen die Engine oder deren Launcher als Verbreitungsweg, um Schadcode in raubkopierten Spielinstallationen zu verstecken.
In der Praxis ist Softwarepiraterie der Hauptübertragungsweg. Die Opfer laden geknackte Spiele oder neu gepackte Installationsprogramme von inoffiziellen Websites herunter und führen dann eine Datei aus, die wie ein normaler Spiel-Launcher oder eine Setup-Datei aussieht. In Wirklichkeit infizieren sie ihren Computer damit jedoch mit einem Malware-Loader.
Zum Zeitpunkt der Erstellung dieses Artikels versucht dieser Loader, einen Infostealer namens ARC zu verbreiten, der gespeicherte Browser-Passwörter, Cookies, Kryptowährungs-Wallets, Daten für die automatische Ausfüllfunktion, Systemdaten und den Inhalt der Zwischenablage abgreifen kann.
Wir haben jedoch auch beobachtet, dass andere Schadprogramme abgelegt wurden, darunter der Rhadamanthys-Stealer, der Async Remote Access Trojan (RAT) und Backdoor.XWorm, die den Schaden vom Diebstahl von Zugangsdaten bis hin zur vollständigen Fernsteuerung des Computers ausweiten können. Dies kann zur Übernahme von Konten, zu Finanzbetrug, zum Diebstahl von Kryptowährungen und zu einer noch tiefergehenden Kompromittierung persönlicher oder geschäftlicher Daten führen.
Das Schlimmste daran ist, dass ein Nutzer möglicherweise erst dann merkt, dass sein Gerät infiziert ist, wenn Benutzernamen und Passwörter bereits gestohlen wurden oder sich der Computer seltsam verhält.
Wie man sicher bleibt
Die wichtigste Erkenntnis dabei ist, dass „kostenlose“ geknackte Software oft als Vehikel für Malware dient und kein Schnäppchen ist. Sobald sich ein solcher Loader auf dem Rechner befindet, besteht das eigentliche Ziel meist darin, Zugangsdaten zu stehlen oder eine sekundäre Schadsoftware zu installieren, die hartnäckiger ist und größeren Schaden anrichtet.
Einige weitere allgemeine Tipps für Ihre Sicherheit:
- Laden Sie keine Installationsprogramme aus inoffiziellen Quellen herunter.
- Nutzen Sie einen Echtzeit -Malware-Schutz, um Loader zu blockieren.
- Halten Sie Ihre Software auf dem neuesten Stand, insbesondere Microsoft-Patches und andere sicherheitsrelevante Programme.
Wenn Sie glauben, dass Ihr Computer infiziert ist, und sich vergewissern möchten, befolgen Sie bitte die hier aufgeführten Anweisungen. Die großartigen Freiwilligen in unseren Foren helfen Ihnen gerne dabei, Ihren Computer zu säubern.
Wir berichten nicht nur über Bedrohungen - wir beseitigen sie
Cybersecurity-Risiken sollten nie über eine Schlagzeile hinausgehen. Laden Sie noch heute Malwarebytes herunter, um Bedrohungen von Ihren Geräten fernzuhalten.
