Nowa kampania Windows ukrywa się w pirackich grach komputerowych oraz zmodyfikowanych instalatorach gier z serii takich jak Far Cry, Need for Speed, FIFA i Assassin’s Creed.
Naukowcy szacują, że na całym świecie zainfekowanych zostało ponad 400 000 urządzeń, z czego około 30 000 użytkowników pochodzi ze Stanów Zjednoczonych.
Metoda infekcji jest prosta i skuteczna. Użytkownicy są nakłaniani do zainstalowania w pełni działającej darmowej gry. Chociaż złamana i przepakowana gra wydaje się działać, złośliwe oprogramowanie instaluje się po cichu w tle.
Wirus ten nosi nazwę „RenEngine loader” i czasami określa się go mianem Ren’Py, ponieważ fragmenty złośliwego kodu są wbudowane w legalny program uruchamiający Ren’Py, służący do uruchamiania niektórych gier typu visual novel. Po uruchomieniu program ten rozpakowuje pliki gry i potajemnie uruchamia łańcuch infekcji.
Ren’Py to legalny silnik do tworzenia powieści wizualnych typu open source, wykorzystywany przez twórców do tworzenia gier fabularnych zawierających tekst, grafiki, dźwięk oraz interaktywne wybory. Złośliwe oprogramowanie, o którym mowa, nie jest samym silnikiem Ren’Py. Atakujący wykorzystują ten silnik lub jego program uruchamiający jako narzędzie do umieszczania złośliwego kodu w instalacjach pirackich gier.
W praktyce głównym wektorem infekcji jest piractwo komputerowe. Ofiary pobierają z nieoficjalnych stron złamane gry lub przepakowane instalatory, a następnie uruchamiają plik, który wygląda jak zwykły program uruchamiający grę lub plik instalacyjny. W rzeczywistości zarażają w ten sposób swój komputer modułem ładującym złośliwe oprogramowanie.
W chwili pisania tego tekstu ten moduł ładujący próbuje zainstalować program typu infostealer o nazwie ARC, który może wykraść zapisane hasła przeglądarki, pliki cookie, dane portfeli kryptowalutowych, dane do automatycznego wypełniania, informacje o systemie oraz zawartość schowka.
Zauważyliśmy jednak również rozprzestrzenianie się innych szkodliwych programów, w tym kradnącego dane Rhadamanthys, trojana umożliwiającego zdalny dostęp (RAT) typu Async oraz Backdoor.XWorm, który może rozszerzyć zakres szkód od kradzieży danych uwierzytelniających aż po pełną zdalną kontrolę nad komputerem. Może to oznaczać przejęcie kont, oszustwa finansowe, kradzież kryptowalut oraz poważniejsze naruszenie bezpieczeństwa danych osobowych lub służbowych.
Najgorsze jest to, że użytkownik może nie zorientować się, że jego komputer został zainfekowany, dopóki nie dojdzie do kradzieży nazw użytkownika i haseł lub dopóki urządzenie nie zacznie działać w dziwny sposób.
Jak zachować bezpieczeństwo
Najważniejszą lekcją, jaką należy z tego wyciągnąć, jest to, że „darmowe” oprogramowanie z łamanymi zabezpieczeniami często służy jako nośnik złośliwego oprogramowania, a nie jako okazja do oszczędności. Gdy taki moduł ładujący znajdzie się już na komputerze, jego prawdziwym celem jest zazwyczaj kradzież danych uwierzytelniających lub zainstalowanie dodatkowego ładunku, który jest bardziej trwały i wyrządza większe szkody.
Kilka innych ogólnych wskazówek dotyczących bezpieczeństwa:
- Nie pobieraj instalatorów z nieoficjalnych źródeł.
- Korzystaj z aktualnej ochrony przed złośliwym oprogramowaniem działającej w czasie rzeczywistym, aby blokować moduły ładujące.
- Należy na bieżąco aktualizować oprogramowanie, zwłaszcza poprawki firmy Microsoft oraz inne programy związane z bezpieczeństwem.
Jeśli podejrzewasz, że Twój komputer jest zainfekowany i chcesz się upewnić, postępuj zgodnie z instrukcjami zamieszczonymi tutaj. Nasi wspaniali wolontariusze z forum pomogą Ci przejść przez proces czyszczenia komputera.
Nie tylko informujemy o zagrożeniach - my je usuwamy
Zagrożenia cyberbezpieczeństwa nigdy nie powinny wykraczać poza nagłówek. Chroń swoje urządzenia przed zagrożeniami, pobierając Malwarebytes już dziś.
