Une nouvelle campagne Windows se cache dans des jeux PC piratés et des programmes d'installation modifiés pour des franchises telles que Far Cry, Need for Speed, FIFA et Assassin’s Creed.
Les chercheurs estiment que plus de 400 000 appareils ont été infectés à travers le monde, dont environ 30 000 aux États-Unis.
La méthode d'infection est simple et efficace. Les utilisateurs sont incités à installer un jeu gratuit entièrement fonctionnel. Alors que le jeu piraté et reconditionné semble fonctionner, le logiciel malveillant s'installe discrètement en arrière-plan.
Ce variant est appelé « RenEngine loader » et parfois désigné sous le nom de Ren’Py, car des éléments du code malveillant sont intégrés dans un lanceur Ren’Py légitime utilisé pour exécuter certains jeux de type roman visuel. Lorsque le lanceur s’exécute, il décompresse les fichiers du jeu et déclenche discrètement la chaîne d’infection.
Ren’Py est un moteur de roman visuel open source reconnu, utilisé par les développeurs pour créer des jeux axés sur l’histoire, intégrant du texte, des images, du son et des choix interactifs. Le logiciel malveillant en question n’est pas Ren’Py lui-même. Les pirates exploitent le moteur ou son lanceur comme vecteur de diffusion pour dissimuler du code malveillant dans les installations de jeux piratés.
Dans la pratique, le principal vecteur d'infection est le piratage de logiciels. Les victimes téléchargent des jeux piratés ou des programmes d'installation modifiés sur des sites non officiels, puis exécutent ce qui ressemble à un lanceur de jeu ou à un fichier d'installation normal. En réalité, elles infectent leur ordinateur avec un chargeur de logiciels malveillants.
Au moment où nous écrivons ces lignes, ce programme de téléchargement tente de diffuser un logiciel de vol d'informations appelé ARC, capable de récupérer les mots de passe enregistrés dans le navigateur, les cookies, les portefeuilles de cryptomonnaie, les données de remplissage automatique, les informations système et le contenu du presse-papiers.
Mais nous avons également constaté la diffusion d'autres charges utiles, notamment le voleur de données Rhadamanthys, le cheval de Troie d'accès à distance asynchrone (RAT) et Backdoor.XWorm, qui peut étendre les dégâts causés par le vol d'identifiants jusqu'au contrôle total à distance de la machine. Cela peut se traduire par des prises de contrôle de comptes, des fraudes financières, des vols de cryptomonnaies et une compromission plus grave des données personnelles ou professionnelles.
Le pire, c'est qu'un utilisateur peut ne pas se rendre compte qu'il a été infecté avant que ses identifiants et mots de passe aient été volés ou que son ordinateur commence à se comporter de manière étrange.
Comment rester en sécurité
La leçon la plus importante à retenir ici est que les logiciels « gratuits » piratés servent souvent de vecteur de diffusion de logiciels malveillants, et ne constituent en aucun cas une bonne affaire. Une fois qu’un chargeur de ce type est installé sur l’ordinateur, l’objectif réel est généralement de voler des identifiants ou d’installer une charge utile secondaire, plus persistante et plus destructrice.
Voici quelques autres conseils généraux pour rester en sécurité :
- Ne téléchargez pas de programmes d'installation provenant de sources non officielles.
- Utilisez une protection anti-malware en temps réel et mise à jour pour bloquer les chargeurs.
- Veillez à maintenir vos logiciels à jour, en particulier les correctifs Microsoft et les autres programmes liés à la sécurité.
Si vous pensez que votre ordinateur est infecté et que vous souhaitez en avoir le cœur net, suivez les instructions fournies ici. Les formidables bénévoles de nos forums vous aideront à nettoyer votre ordinateur.
Nous ne nous contentons pas de signaler les menaces, nous les éliminons.
Les risques de cybersécurité ne devraient jamais se propager au-delà d'un titre. Éliminez les menaces de vos appareils en téléchargeant Malwarebytes dès aujourd'hui.
