Windows 攻撃キャンペーンが、『ファークライ』、『ニード・フォー・スピード』、『FIFA』、『アサシン クリード』といった人気シリーズの海賊版PCゲームや改変されたインストーラーに潜んでいる。
研究者らの推計によると、世界中で40万台以上の端末が感染しており、そのうち米国では約3万人のユーザーが影響を受けている。
感染の手口は単純かつ効果的です。ユーザーは、完全に機能する無料ゲームをインストールするよう誘導されます。クラック版や再パッケージ化されたゲームは正常に動作しているように見えますが、その裏でマルウェアが密かにインストールされます。
この亜種は「RenEngine loader」と呼ばれており、一部のビジュアルノベルゲームの実行に使用される正規のRen’Pyランチャーに悪意のあるコードの一部が埋め込まれていることから、Ren’Pyと呼ばれることもあります。ランチャーが実行されると、ゲームファイルが解凍され、密かに感染の連鎖が始まります。
Ren’Pyは、テキスト、画像、音声、およびインタラクティブな選択肢を用いてストーリー主導型のゲームを作成するために開発者が使用する、正規のオープンソースのビジュアルノベルエンジンです。今回のマルウェアはRen’Pyそのものではありません。攻撃者は、このエンジンまたはそのランチャーを配布手段として悪用し、海賊版ゲームのインストールファイル内に悪意のあるコードを隠蔽しています。
実際には、主な感染経路はソフトウェアの違法コピーです。被害者は非公式サイトからクラックされたゲームや再パッケージ化されたインストーラーをダウンロードし、一見すると普通のゲームランチャーやセットアップファイルのように見えるものを実行します。しかし実際には、それらはマルウェアのローダーであり、コンピュータに感染させてしまうのです。
この記事の執筆時点で、このローダーは「ARC」と呼ばれる情報窃取型マルウェアを配布しようとしており、このマルウェアは保存されたブラウザのパスワード、Cookie、仮想通貨ウォレット、自動入力データ、システム情報、クリップボードの内容などを盗み出す可能性があります。
しかし、それ以外にも、Rhadamanthysステラーや非同期型リモートアクセス型トロイの木馬(RAT)、Backdoor.XWormといったペイロードが配布されている事例も確認されています。これらは、認証情報の窃取にとどまらず、マシンの完全な遠隔操作へと被害を拡大させる可能性があります。その結果、アカウントの乗っ取り、金融詐欺、暗号資産の窃取、さらには個人データや業務データのさらなる侵害につながる恐れがあります。
何よりも厄介なのは、ユーザー名やパスワードが盗まれたり、端末の動作がおかしくなったりするまで、感染に気づかない可能性があるという点だ。
安全に過ごすには
ここで最も重要な教訓は、「無料」のクラック版ソフトウェアは、お買い得品ではなく、多くの場合マルウェアの配布手段となっているということです。このようなローダーが一度マシンに侵入すると、その真の目的は通常、認証情報を盗み出したり、より持続性が高く、より深刻な被害をもたらす二次的なペイロードをインストールしたりすることにあります。
安全を確保するためのその他の一般的なアドバイス:
- 非公式のサイトからインストーラーをダウンロードしないでください。
- リアルタイムで常に最新のマルウェア対策機能を活用し、ローダーをブロックします。
- ソフトウェアは常に最新の状態に保ってください。特に、Microsoftのパッチやその他のセキュリティ関連プログラムについては、必ず更新してください。
お使いのパソコンがウイルスに感染しているかもしれないとお考えで、確認したい場合は、こちらに掲載されている手順に従ってください。当フォーラムの素晴らしいボランティアの方々が、パソコンの駆除作業を最後までサポートいたします。
脅威を報告するだけでなく、取り除く
サイバーセキュリティのリスクは、ヘッドラインを超えて広がるべきではありません。今すぐMalwarebytes ダウンロードして、デバイスに脅威を持ち込まないようにしましょう。
