Новая кампания по распространению Windows скрывается в пиратских компьютерных играх и модифицированных установщиках для таких серий, как Far Cry, Need for Speed, FIFA и Assassin’s Creed.
По оценкам исследователей, во всем мире заражено более 400 000 устройств, из них около 30 000 — в США.
Способ заражения прост и эффективен. Пользователей заманивают установкой полнофункциональной бесплатной игры. Хотя взломанная и перепакованная игра, казалось бы, работает, вредоносное ПО незаметно устанавливается в фоновом режиме.
Этот шквер получил название «RenEngine loader» и иногда упоминается как Ren’Py, поскольку части вредоносного кода встроены в легитимный лаунчер Ren’Py, используемый для запуска некоторых игр в жанре визуальных новелл. При запуске лаунчер распаковывает файлы игры и незаметно запускает цепочку заражения.
Ren’Py — это легальный движок для создания визуальных новелл с открытым исходным кодом, который разработчики используют для создания сюжетных игр с текстом, изображениями, звуком и интерактивными выборами. В данном случае вредоносным является не сам Ren’Py. Злоумышленники используют этот движок или его программу запуска в качестве средства доставки, чтобы скрыть вредоносный код в пиратских версиях игр.
На практике основным источником заражения является пиратское ПО. Пользователи скачивают взломанные игры или перепакованные установщики с неофициальных сайтов, а затем запускают файл, который выглядит как обычный лаунчер игры или установочный файл. На самом деле они заражают свой компьютер загрузчиком вредоносного ПО.
На момент написания этой статьи данный загрузчик пытается установить программу-шпион под названием ARC, способную похищать сохраненные в браузере пароли, файлы cookie, данные криптовалютных кошельков, данные автозаполнения, системные сведения и содержимое буфера обмена.
Однако мы также наблюдали распространение других вредоносных модулей, в том числе программы-крадец Rhadamanthys, трояна удаленного доступа (RAT) Async и Backdoor.XWorm, который может расширить масштаб ущерба от кражи учетных данных до полного удаленного контроля над компьютером. Это может привести к взлому учетных записей, финансовому мошенничеству, краже криптовалюты и более серьезному компрометации личных или рабочих данных.
Хуже всего то, что пользователь может и не догадаться о заражении, пока его логины и пароли не будут похищены или компьютер не начнет вести себя странно.
Как оставаться в безопасности
Главный урок заключается в том, что «бесплатное» взломанное ПО зачастую служит лишь средством доставки вредоносных программ, а не выгодной сделкой. Как только подобный загрузчик попадает на компьютер, его настоящей целью обычно становится кража учетных данных или установка вторичного вредоносного модуля, который действует более устойчиво и наносит больший ущерб.
Еще несколько общих советов по обеспечению безопасности:
- Не загружайте установщики из неофициальных источников.
- Используйте актуальную защиту от вредоносных программ в режиме реального времени для блокировки загрузчиков.
- Обновляйте свое программное обеспечение, особенно исправления Microsoft и другие программы, связанные с безопасностью.
Если вы подозреваете, что ваш компьютер заражён, и хотите убедиться в этом, следуйте инструкциям, приведённым здесь. Замечательные волонтёры на наших форумах помогут вам пройти процесс очистки компьютера.
Мы не просто сообщаем об угрозах - мы их устраняем
Риски кибербезопасности не должны выходить за рамки заголовка. Загрузите Malwarebytes сегодня, чтобы предотвратить угрозы на своих устройствах.
