Το φορτωτή RenEngine, διαδίδοντας μέσω παράνομων αντιγράφων παιχνιδιών, μόισε 400 000 υπολογιστές

Κυβερνοαπειλές: ο λογισμικό-φορτωτής RenEngine επιτέθηκε σε πάνω από 400 000 υπολογιστές

Οι ειδικοί της κυβερνοασφάλειας εντοπίστηκαν ένα νέο κακόβουλο πακέτο λογισμικού – τον φορτωτή RenEngine, ο οποίος, κατά τις εκτιμήσεις, έχει μολύνει περισσότερα από τετρακόσια χιλιάδες υπολογιστές με Windows σε όλο τον κόσμο. Το ιό διαδίδεται μαζί με παράνομες αντιγραφές δημοφιλών παιχνιδιών για PC.

Πώς εντοπίστηκε και πώς διαδίδεται
- Οι ερευνητές του Cyderes εντόπισαν την απειλή σε παράνομους διανομείς τέτοιων σειρών όπως *Far Cry*, *Need for Speed*, *FIFA* και *Assassin’s Creed*.

- Το κακόβουλο προγραμματίζεται μέσα στον «κανονικό» εγκαταστάτη παιχνιδιών Ren’Py, από όπου πήρε το όνομα *RenEngine loader*.

- Υπάρχει τουλάχιστον από τον Απρίλιο της προηγούμενης χρονιάς και παραμένει ενεργό. Τον Οκτώβριο πέρασε μια μεγάλη ενημέρωση: προστέθηκε ένα τμήμα τηλεμετρίας που κάθε φορά που εκκινεί, επικοινωνεί με έναν σταθερό διεύθυνση.

Κλίμακα μόλυνσης
- Σύμφωνα με τις ερευνητές, πάνω από 400 000 μηχανές έχουν ήδη επηρεαστεί.

- Καθημερινά το κακόβουλο καταγράφει μεταξύ 4 000 και 10 000 νέες θύματα.

- Η μεγαλύτερη συγκέντρωση είναι στην Ινδία, τις ΗΠΑ, τη Βραζιλία και τη Ρωσία.

- Τα μολυσμένα παιχνίδια ληφθούν από έναν ιστότοπο που προηγουμένως χρησιμοποιήθηκε σε άλλες κυβερνοκαμπάνιες.

Τι κάνει ο RenEngine loader
1. Εγκαθιστά το πρόγραμμα κλοπής δεδομένων ARC: συλλέγει αποθηκευμένες συνδέσεις προγράμματος περιήγησης, cookie, δεδομένα κρυπτονομισματικών πορτοφολιών και αυτόματης συμπλήρωσης, πληροφορίες συστήματος και περιεχόμενο του clipboard.

2. Μέσω του φορτωτή αναπτύσσονται επιπλέον payloads: Rhadamanthys, Async RAT και Xworm – όλα έχουν σκοπό την κλοπή δεδομένων και απομακρυσμένη διαχείριση PC.

Προστασία και αντίδραση των αντιιών
- Στις πρώτες φάσεις της επίθεσης μόνο τα Avast, AVG και Cynet αναγνωρίζουν τον RenEngine loader.

- Σε άλλες περιπτώσεις, όταν υπάρχει υποψία μόλυνσης, συνιστάται η χρήση εργαλείων αποκατάστασης Windows ή ο πλήρης επανεγκατάσταση του συστήματος.

Συμπέρασμα: ο λογισμικό-φορτωτής RenEngine συνεχίζει να μολύνει ενεργά υπολογιστές σε όλο τον κόσμο μέσω παράνομων παιχνιδιών, συλλέγοντας προσωπικά δεδομένα και παρέχοντας στους επιτιθέμενους απομακρυσμένη πρόσβαση. Οι χρήστες πρέπει να ενημερώνουν τα αντιιούς τους στις τελευταίες εκδόσεις και να αποφεύγουν τη λήψη παιχνιδιών από αμφίβολες πηγές.