Uma nova campanha Windows se esconde dentro de jogos de PC piratas e instaladores modificados de franquias como Far Cry, Need for Speed, FIFA e Assassin’s Creed.
Pesquisadores estimam que mais de 400 mil dispositivos em todo o mundo tenham sido infectados, sendo cerca de 30 mil usuários nos Estados Unidos.
O método de infecção é simples e eficaz. Os usuários são induzidos a instalar um jogo gratuito totalmente funcional. Embora o jogo crackeado e reempacotado pareça funcionar, o malware se instala silenciosamente em segundo plano.
A variante está sendo chamada de “RenEngine loader” e, às vezes, é referida como Ren’Py, pois partes do código malicioso estão incorporadas em um executador legítimo do Ren’Py, usado para rodar alguns jogos do tipo visual novel. Quando o executador é iniciado, ele descompacta os arquivos do jogo e, secretamente, dá início à cadeia de infecção.
O Ren’Py é um motor de visual novel legítimo e de código aberto, utilizado por desenvolvedores para criar jogos baseados em enredo com texto, imagens, som e opções interativas. O malware em questão não é o próprio Ren’Py. Os invasores estão se aproveitando do motor ou de seu executor como meio de distribuição para ocultar código malicioso dentro de instalações de jogos piratas.
Na prática, o principal vetor de infecção é a pirataria de software. As vítimas baixam jogos crackeados ou instaladores reempacotados de sites não oficiais e, em seguida, executam o que parece ser um executável normal do jogo ou um arquivo de instalação. Na verdade, elas estão infectando seus computadores com um carregador de malware.
No momento da redação deste artigo, esse carregador está tentando distribuir um programa de roubo de informações chamado ARC, capaz de capturar senhas salvas no navegador, cookies, carteiras de criptomoedas, dados de preenchimento automático, detalhes do sistema e o conteúdo da área de transferência.
Mas também observamos a disseminação de outras cargas maliciosas, incluindo o Rhadamanthys Stealer, o Trojan de Acesso Remoto Assíncrono (RAT) e o Backdoor.XWorm, que podem ampliar os danos causados pelo roubo de credenciais até o controle remoto total do computador. Isso pode resultar em invasão de contas, fraudes financeiras, roubo de criptomoedas e comprometimento ainda mais grave de dados pessoais ou profissionais.
O pior de tudo é que o usuário pode não perceber que foi infectado até que seus nomes de usuário e senhas tenham sido roubados ou o computador comece a apresentar um comportamento estranho.
Como se manter seguro
A lição mais importante aqui é que softwares “gratuitos” crackeados costumam ser um meio de disseminação de malware, e não uma boa oferta. Uma vez que um carregador como esse esteja instalado no computador, o objetivo real geralmente é roubar credenciais ou instalar uma carga secundária mais persistente e mais prejudicial.
Algumas outras dicas gerais para se manter seguro:
- Não baixe instaladores de fontes não oficiais.
- Use proteção antimalware em tempo real e atualizada para bloquear carregadores.
- Mantenha seu software atualizado, especialmente as atualizações da Microsoft e outros programas relacionados à segurança.
Se você acha que seu computador está infectado e quer ter certeza, siga as instruções publicadas aqui. Os incríveis voluntários dos nossos fóruns vão ajudá-lo durante todo o processo de limpeza do seu computador.
Não nos limitamos a informar sobre as ameaças, nós as removemos
Os riscos de segurança cibernética nunca devem se espalhar além de uma manchete. Mantenha as ameaças longe de seus dispositivos fazendo o download Malwarebytes hoje mesmo.
