Een nieuwe Windows verschuilt zich in illegaal gekopieerde pc-games en aangepaste installatieprogramma’s voor gameseries als Far Cry, Need for Speed, FIFA en Assassin’s Creed.
Onderzoekers schatten dat wereldwijd meer dan 400.000 apparaten zijn geïnfecteerd, waarvan ongeveer 30.000 gebruikers in de VS.
De besmettingsmethode is eenvoudig en doeltreffend. Gebruikers worden ertoe verleid een volledig functionele gratis game te installeren. Hoewel de gekraakte en opnieuw verpakte game lijkt te werken, wordt de malware stilletjes op de achtergrond geïnstalleerd.
De variant wordt „RenEngine loader“ genoemd en wordt soms ook wel Ren’Py genoemd, omdat delen van de kwaadaardige code zijn ingebed in een legitieme Ren’Py-launcher die wordt gebruikt om bepaalde visual novel-games te starten. Wanneer de launcher wordt gestart, pakt deze de gamebestanden uit en zet hij in het geheim de infectieketen in gang.
Ren’Py is een legitieme, open-source engine voor visuele romans die door ontwikkelaars wordt gebruikt om verhaalgedreven games te maken met tekst, afbeeldingen, geluid en interactieve keuzes. De malware in dit geval is niet Ren’Py zelf. Aanvallers misbruiken de engine of het bijbehorende startprogramma als distributiemiddel om schadelijke code te verbergen in illegale game-installaties.
In de praktijk is softwarepiraterij de belangrijkste infectieroute. Slachtoffers downloaden gekraakte games of opnieuw verpakte installatieprogramma’s van onofficiële websites en starten vervolgens een programma dat eruitziet als een normaal startprogramma voor een game of een installatiebestand. In werkelijkheid besmetten ze hun computer daarmee met een malware-loader.
Op het moment van schrijven probeert deze loader een infostealer genaamd ARC te verspreiden, die opgeslagen wachtwoorden in de browser, cookies, cryptovaluta-wallets, gegevens voor automatisch invullen, systeemgegevens en de inhoud van het klembord kan stelen.
Maar we hebben ook gezien dat er andere schadelijke programma’s werden gedropt, waaronder de Rhadamanthys-stealer, de Async Remote Access Trojan (RAT) en Backdoor.XWorm, die de schade kunnen uitbreiden van het stelen van inloggegevens tot volledige controle op afstand over de computer. Dit kan leiden tot het overnemen van accounts, financiële fraude, diefstal van cryptovaluta en een ernstigere inbreuk op persoonlijke of zakelijke gegevens.
Het ergste is dat een gebruiker zich er misschien pas van bewust wordt dat hij geïnfecteerd is als zijn gebruikersnamen en wachtwoorden al gestolen zijn of als de computer zich vreemd gaat gedragen.
Hoe blijf ik veilig
De belangrijkste les hier is dat „gratis“ gekraakte software vaak een drager is voor malware, en geen koopje. Zodra zo’n loader op de computer staat, is het echte doel meestal om inloggegevens te stelen of een secundaire payload te installeren die hardnekkiger en schadelijker is.
Nog wat algemene tips om veilig te blijven:
- Download geen installatieprogramma’s van onofficiële bronnen.
- Gebruik realtime, up-to-date bescherming tegen malware om loaders te blokkeren.
- Houd uw software up-to-date, met name Microsoft-patches en andere beveiligingsgerelateerde programma’s.
Als je denkt dat je computer besmet is en je wilt zekerheid hebben, volg dan de instructies die hier staan. De geweldige vrijwilligers op onze forums helpen je graag bij het opschonen van je computer.
We rapporteren niet alleen over bedreigingen - we verwijderen ze ook
Cyberbeveiligingsrisico's mogen zich nooit verder verspreiden dan een krantenkop. Houd bedreigingen van uw apparaten door Malwarebytes vandaag nog te downloaden.
