Исследователи компании Howler Cell зафиксировали крупномасштабную кампанию распространения вредоносного ПО через пиратские игры и взломанные программы. В ее основе — новый загрузчик малвари RenEngine, встроенный в модифицированные лаунчеры игр на движке Ren’Py. По данным экспертов, первые образцы этой цепочки появились еще в марте 2025 года, а в качестве финальной нагрузки используются популярные стилеры Lumma, ACR Stealer и Vidar.
Вектор атаки: пиратские игры, файлообменники и поддельные сайты
Сценарий заражения построен вокруг привычного для многих пользователей поведения — скачивания «бесплатных» игр и софта. Жертва переходит на популярный игровой или псевдолегальный сайт, нажимает кнопку «Скачать» и перенаправляется через серию редиректов на файлообменник Mega. В итоге на устройство загружается архив, якобы содержащий игру или взломанную версию коммерческого ПО (например, графического редактора).
После распаковки и запуска «игры» пользователь видит бесконечный экран загрузки на 100% и, как правило, списывает это на «зависание» или баг. На самом деле в этот момент активируется цепочка запуска вредоносной нагрузки: срабатывают Python-скрипты, которые имитируют интерфейс игры, обходят базовые механизмы песочницы и параллельно расшифровывают и разворачивают малварь.
Техническая цепочка заражения: от RenEngine до HijackLoader
Подмена легитимного ПО и DLL-hijacking
Во временную директорию (как правило, .temp) скрипты распаковывают ZIP-архив с пятью файлами. Среди них — легитимное приложение Ahnenblatt4.exe (программа для ведения генеалогических данных), несколько библиотек и модифицированная cc32290mt.dll. Именно эта пропатченная библиотека перехватывает управление при запуске Ahnenblatt4.exe и инициирует первую стадию атаки — запуск модульного загрузчика HijackLoader.
HijackLoader — сравнительно новый загрузчик, впервые подробно описанный в 2023 году. В данной кампании он расшифровывает шелл-код из файла gayal.asp и перезаписывает в памяти системную библиотеку dbghelp.dll, используя технику in-memory patching. Это позволяет избежать записи вредоносного кода на диск в явном виде и усложняет детектирование средствами традиционного антивируса.
Многостадийная загрузка и маскировка под системные процессы
Далее HijackLoader создает промежуточный процесс cmd.exe в приостановленном режиме, загружает в него модифицированный код dbghelp.dll, а следующую стадию получает из файла hap.eml. На этом этапе происходит перезапись секции кода библиотеки pla.dll и передача управления уже этому компоненту. Подобная многоступенчатая архитектура затрудняет анализ и сегментирует функциональность вредоноса.
Финальная полезная нагрузка (стилеры Lumma, ACR Stealer или Vidar) записывается в память дочернего процесса explorer.exe с использованием механизма транзакций Windows API. При этом данные подаются по частям и в измененном порядке относительно исходного файла. После завершения записи файл загружается в адресное пространство текущего процесса, транзакция откатывается, а временный файл удаляется. Затем вредоносный модуль внедряется в explorer.exe через общую память, что помогает маскироваться под доверенный системный процесс.
Цели злоумышленников и география атак
Основная задача кампании — кража конфиденциальных данных. Стилеры Lumma, ACR и Vidar ориентированы на сбор учетных данных браузеров, куки, данных криптокошельков, авторизационных токенов, сохраненных паролей и другой чувствительной информации. Эти данные затем продаются на подпольных форумах или используются для последующих атак, включая угон аккаунтов и финансовое мошенничество.
По данным telemetry-решений , наибольшее количество срабатываний RenEngine зафиксировано в Бразилии, Турции, Испании и Германии. Атаки носят массовый, а не целевой характер: под удар попадает любой пользователь, который сознательно ищет «халяву» — пиратские игры, взломанные редакторы, генераторы ключей и т. п.
Почему игровые архивы — удобный контейнер для малвари
Исследователи подчеркивают, что форматы игровых архивов обычно не стандартизированы и часто уникальны для каждой конкретной игры или движка. Это означает отсутствие универсальных алгоритмов автоматической проверки содержимого таких архивов. Если игровой движок (в данном случае Ren’Py) не реализует строгую проверку целостности и подлинности исполняемых ресурсов и скриптов, любой модифицированный архив может стать удобным «контейнером» для скрытой малвари.
Этот подход активно используют киберпреступники: помимо игровых площадок, создаются десятки «зеркал» и сайтов-однодневок, выдающих себя за источники взломанного коммерческого ПО. Нажатие на привычную кнопку «Скачать» запускает цепочку редиректов, в результате которой пользователь получает не только желанный «репак», но и полноценный набор вредоносных компонентов.
Снизить риск заражения в подобных сценариях относительно несложно. Ключевые меры включают: строгий отказ от скачивания пиратских игр и взломанного софта, использование только официальных магазинов и сайтов разработчиков, обязательное наличие актуального защитного решения (антивирус, EDR) и регулярное обновление операционной системы. Дополнительно имеет смысл ограничить запуск приложений из временных директорий и архивов, а также уделять внимание аномалиям — например, бесконечной «загрузке игры» или неожиданным перезапускам процессов. Чем меньше пользователь полагается на «бесплатные» неофициальные источники, тем ниже вероятность столкнуться с цепочками заражения вроде RenEngine.
