Специалисты по кибербезопасности Cyderes зафиксировали масштабную кампанию распространения вредоносного ПО под названием RenEngine loader, которая могла затронуть более 400 тыс. компьютеров под управлением Windows по всему миру. Основным каналом распространения стали пиратские версии популярных ПК-игр.

По данным исследователей, вредонос встраивается в легитимный установщик игрового движка Ren'Py и распространяется вместе с нелегальными копиями игр известных серий, включая Far Cry, Need for Speed, FIFA и Assassin's Creed. Кампания активна как минимум с апреля прошлого года, а в октябре загрузчик получил крупное обновление, добавившее телеметрический модуль и регулярные обращения к одному управляющему серверу.

Анализ трафика этого сервера позволил экспертам оценить масштаб заражения — свыше 400 тыс. уникальных систем. Ежедневно фиксируется от 4 тыс. до 10 тыс. новых жертв. При этом наибольшее число зараженных устройств выявлено в Индии, США, Бразилии и России. Также был идентифицирован сайт-распространитель, ранее уже фигурировавший в других вредоносных кампаниях.

Основная задача RenEngine loader — установка дополнительных вредоносных компонентов. В частности, он загружает программу ARC для кражи данных, собирающую сохраненные пароли браузеров, cookie-файлы, сведения о криптовалютных кошельках, данные автозаполнения, системную информацию и содержимое буфера обмена. Кроме того, через данный загрузчик распространялись и другие семейства вредоносов, включая Rhadamanthys, Async RAT и Xworm, используемые для кражи данных и удаленного управления компьютерами.

На текущий момент раннее обнаружение RenEngine loader обеспечивают лишь некоторые антивирусы, в числе которых продукты Avast, AVG и Cynet. Эксперты рекомендуют при подозрении на заражение использовать средства восстановления Windows либо полностью переустановить операционную систему.

