Эксперты «Лаборатории Касперского» предупреждают об активизации вредоносной кампании, использующей пиратское программное обеспечение и взломанные игры для распространения сложных угроз. Хотя в феврале 2026 года исследовательская группа Howler Cell сообщила об обнаружении массового заражения через зараженные игровые файлы, на самом деле эта угроза не нова. Решения «Лаборатории Касперского» начали детектировать первые образцы загрузчика, получившего название RenEngine, еще в марте 2025 года.
Описание
Изначально RenEngine использовался для доставки стилера (stealer) Lumma, а в текущих инцидентах в качестве финальной вредоносной нагрузки (payload) распространяется ACR Stealer. Расследование показало, что злоумышленники применяют продвинутые техники для обхода защитных механизмов и обеспечения устойчивости (persistence) на зараженных системах.
Механизм заражения начинается с посещения пользователем специализированного ресурса, предлагающего нелицензионный контент. Например, страница с игрой содержит кнопки загрузки, ведущие на файлообменник MEGA. После скачивания и запуска архива пользователь видит экран загрузки игры, которая якобы зависает на 100%. На самом деле в этот момент начинает работу вредоносный код.
Анализ файлов показывает, что первоначальное заражение осуществляют скрипты на Python, которые имитируют сбой. Эти скрипты содержат функции для проверки окружения на наличие песочницы (is_sandboxed) и для расшифровки основной вредоносной нагрузки (xor_decrypt_file). После расшифровки ZIP-архива его содержимое распаковывается во временную директорию и исполняется.
Особенностью атаки является использование легитимного приложения Ahnenblatt4.exe в качестве приманки. Вредоносная библиотека cc32290mt.dll модифицирует его выполнение, перехватывая управление и развертывая в памяти первую стадию атаки. Для этого в памяти перезаписывается системная библиотека dbghelp.dll расшифрованным шелл-кодом. Полученная нагрузка представляет собой загрузчик HijackLoader, известный своей модульностью.
HijackLoader использует сложную цепочку для внедрения финальной нагрузки. Основной модуль ti создает приостановленный дочерний процесс, например, cmd.exe. Затем в его адресное пространство загружается и исполняется код, который расшифровывает следующую стадию из файла hap.eml. Эта стадия, в свою очередь, внедряется в процесс explorer.exe через механизм транзакций Windows API, что позволяет избежать записи вредоносного файла на диск.
Внедрение происходит в несколько этапов с использованием различных модулей HijackLoader, таких как modCreateProcess и rshell. Финальный модуль ESAL подготавливает и запускает основную вредоносную нагрузку, которая в ранних кампаниях была стилером Lumma. Все эти действия направлены на максимальное затруднение анализа и обнаружения.
Важно отметить, что злоумышленники не ограничиваются игровыми порталами. Они создали десятки сайтов, имитирующих ресурсы с пиратским программным обеспечением, например, с графическим редактором CorelDRAW. Нажатие на кнопку загрузки ведет пользователя по цепочке перенаправлений на поддельные файловые хранилища, в итоге загружая инфицированный архив.
География атак не указывает на целенаправленный характер. По данным «Лаборатории Касперского», с марта 2025 года жертвами RenEngine стали пользователи по всему миру. На момент публикации наибольшее количество инцидентов зафиксировано в России, Бразилии, Турции, Испании и Германии.
Специалисты подчеркивают, что распространение вредоносного ПО (malicious software) под видом пиратских программ остается распространенной тактикой. Основная рекомендация для защиты - избегать скачивания программ и игр с непроверенных и неофициальных источников. Кроме того, использование современных защитных решений с продвинутыми поведенческими модулями, таких как Kaspersky Premium, позволяет обнаруживать и блокировать подобные сложные цепочки заражения, включая модифицированные версии известных стилеров.
Индикаторы компрометации
URLs
- https://agroecologyguide.digital
- https://artistapirata.fit
- https://artistapirata.vip
- https://awdescargas.pro
- https://codxefusion.top
- https://cropcircleforum.today
- https://dodi-repacks.site
- https://explorebieology.run
- https://farfinable.top
- https://filedownloads.store
- https://fullprogramlarindir.me
- https://gamesleech.com
- https://go.zovo.ink
- https://hentakugames.com/country-bumpkin/
- https://localfxement.live
- https://moderzysics.top
- https://parapcc.com
- https://saglamindir.vip
- https://seedsxouts.shop
- https://steamcommunity.com/profiles/76561199822375128
- https://techspherxe.top
- https://zdescargas.pro
MD5
- 12ec3516889887e7bcf75d7345e3207a
- 1e0bf40895673fcd96a8ea3ddfab0ae2
- 2e70eca2191c79ad15da2d4c25eb66b9
- d3cf36c37402d05f1b7aa2c444dc211a
