Una nuova campagna Windows si nasconde all'interno di giochi per PC piratati e di programmi di installazione modificati relativi a serie come Far Cry, Need for Speed, FIFA e Assassin’s Creed.
I ricercatori stimano che siano stati infettati oltre 400.000 dispositivi in tutto il mondo, di cui circa 30.000 negli Stati Uniti.
Il metodo di infezione è semplice ed efficace. Gli utenti vengono indotti a installare un gioco gratuito perfettamente funzionante. Anche se il gioco crackato e ripackato sembra funzionare, il malware si installa silenziosamente in background.
Questa variante è stata denominata «RenEngine loader» e talvolta viene chiamata Ren’Py, poiché parti del codice dannoso sono incorporate in un launcher Ren’Py legittimo utilizzato per eseguire alcuni giochi di visual novel. Quando il launcher viene eseguito, decomprime i file di gioco e avvia segretamente la catena di infezione.
Ren’Py è un motore per visual novel open source legittimo, utilizzato dagli sviluppatori per creare giochi basati sulla trama che includono testo, immagini, audio e scelte interattive. Il malware in questione non è Ren’Py in sé. Gli hacker stanno sfruttando il motore o il suo programma di avvio come mezzo di diffusione per nascondere codice dannoso all’interno delle installazioni di giochi piratati.
In pratica, il principale vettore di infezione è la pirateria informatica. Le vittime download giochi download o programmi di installazione riproposti da siti non ufficiali, per poi eseguire quello che sembra un normale programma di avvio del gioco o un file di installazione. In realtà, stanno infettando il proprio computer con un loader di malware.
Al momento della stesura di questo articolo, questo loader sta tentando di diffondere un programma di furto di informazioni denominato ARC, in grado di sottrarre password salvate nel browser, cookie, portafogli di criptovalute, dati di compilazione automatica, informazioni di sistema e il contenuto degli appunti.
Ma abbiamo anche riscontrato il rilascio di altri payload, tra cui lo stealer Rhadamanthys, il trojan di accesso remoto asincrono (RAT) Async e Backdoor.XWorm, che può estendere il danno dal furto di credenziali al controllo remoto completo del dispositivo. Ciò può comportare l'appropriazione indebita di account, frodi finanziarie, furti di criptovalute e una compromissione più grave dei dati personali o aziendali.
La cosa peggiore è che un utente potrebbe non rendersi conto di essere stato infettato finché non gli vengono rubati nome utente e password o il computer inizia a comportarsi in modo strano.
Come stare al sicuro
La lezione più importante da trarre è che il software "gratuito" crackato è spesso un veicolo per la diffusione di malware, non un affare. Una volta che un loader di questo tipo si è insediato nel computer, l'obiettivo reale è solitamente quello di rubare le credenziali o installare un payload secondario più persistente e dannoso.
Ecco alcuni altri consigli generali per stare al sicuro:
- Non download da fonti non ufficiali.
- Utilizza una protezione anti-malware in tempo reale e sempre aggiornata per bloccare i loader.
- Mantieni aggiornato il tuo software, in particolare le patch Microsoft e gli altri programmi relativi alla sicurezza.
Se pensi che il tuo computer sia stato infettato e vuoi esserne certo, segui le istruzioni riportate qui. I fantastici volontari dei nostri forum ti aiuteranno a ripulire il tuo computer.
Non ci limitiamo a segnalare le minacce, ma le eliminiamo.
I rischi per la sicurezza informatica non dovrebbero mai diffondersi al di là di un titolo di giornale. Tenete le minacce lontane dai vostri dispositivi scaricando Malwarebytes oggi stesso.
