A RenEngine betöltője, amely illegális játékmásolatokon keresztül terjedt, 400 000 számítógépet fertőzött

Kiberfenyegetések: a RenEngine vírus‑betöltő több mint 400 000 PC-t fertőzött

A kiberbiztonsági szakértők új rosszindulatú szoftvercsomagot azonosítottak – a RenEngine loadert, amely becslések szerint több mint negyven ezer számítógépet fertőzett meg Windows rendszereken világszerte. A vírus a PC‑khoz népszerű játékok piratta példányaival terjed.

Hogyan észlelték és hogyan terjed
- A Cyderes kutatók a *Far Cry*, *Need for Speed*, *FIFA* és *Assassin’s Creed* sorozatok illegális disztribúcióiban találták meg a fenyegetést.
- A rosszindulatú kód a „helyes” Ren’Py játéktelepítőbe kerül, ahonnan kapta a *RenEngine loader* nevet.
- Már legalább tavaly április óta létezik és aktív marad. Októberben jelentős frissítést hajtottak végre: telemetria modul került hozzáadásra, amely minden indításkor egy rögzített címre fordul.

A fertőzés mértéke
- A kutatók adatai szerint több mint 400 000 gépet már megfertőzt.
- Minden nap a rosszindulatú program 4 000–10 000 új áldozatot rögzít.
- A legnagyobb koncentráció India, az USA, Brazília és Oroszország területén található.
- A fertőzött játékokat egyetlen weboldalról töltik le, amelyet korábban más kiberkampányok is használtak.

Mi teszi a RenEngine loader?
1. Telepíti az ARC adatlopó programot: összegyűjti a böngészőben mentett jelszavakat, cookie-kat, kriptovaluta pénztárca adatait és automatikus kitöltéseket, rendszerspecifikus információkat és a vágólap tartalmát.
2. A betöltőn keresztül további kártékony terhelések települnek: Rhadamanthys, Async RAT és Xworm – mindegyik célja az adatok lopása és a távoli számítógép irányítása.

Vírusvédelem és vírusirtó reakciók
- Az támadás korai szakaszaiban csak az Avast, AVG és Cynet ismerte fel a RenEngine loadert.
- Más esetekben fertőzés gyanúja esetén javasolt a Windows helyreállítási eszközeinek használata vagy a rendszer teljes újratelepítése.

Összegzés: a RenEngine vírus‑betöltő továbbra is aktívan terjed világszerte piratta játékokon keresztül, személyes adatokat gyűjt és távoli hozzáférést biztosít a támadók számára. A felhasználóknak frissíteniük kell vírusirtóik legújabb verzióira és kerülniük kell gyanús forrásokból származó játékletöltéseket.