Eine neue, gross angelegte Malware-Kampagne missbraucht piratische Spiele und gecrackte Software, um Zugangsdaten und Kryptowallets zu stehlen. Im Mittelpunkt steht ein neuartiger Loader namens RenEngine, der in manipulierte Spiel-Launcher auf Basis des Visual-Novel-Frameworks Ren’Py integriert ist. Nach Angaben von Howler Cell und Telemetriedaten der «Laboratorii Kasperskogo» sind erste Samples dieser Angriffskette bereits seit März 2025 im Umlauf. Als finale Nutzlast kommen bekannte Informations-Stealer wie Lumma, ACR Stealer und Vidar zum Einsatz.
Angriffsvektor: Piratenspiele, Filehoster und gefaelschte Download-Portale
Die Infektion beginnt mit einem weit verbreiteten Nutzerverhalten: dem Herunterladen vermeintlich kostenloser Spiele, Keygeneratoren oder gecrackter Versionen teurer Software. Opfer landen auf Gaming-Portalen oder pseudoseriösen Seiten fuer «Free Full Games» und Cracks, klicken auf «Download» und werden anschliessend ueber mehrere Redirects auf einen Filehoster wie Mega weitergeleitet. Dort laden sie ein Archiv, das angeblich eine Vollversion des Spiels oder eines kommerziellen Programms enthält.
Nach dem Entpacken und Starten der vermeintlichen Anwendung erscheint ein Ladebildschirm, der dauerhaft bei 100 % «haengt». Viele Nutzer halten dies fuer einen Bug und brechen ab – tatsaechlich wird in diesem Moment die Malware-Kette im Hintergrund aufgebaut. Python-Skripte simulieren das Spiel-Interface, fuehren erste Checks aus, um einfache Sandboxen zu umgehen, und entschluesseln parallel die schädlichen Komponenten.
Technische Analyse der RenEngine-Infektionskette
DLL-Hijacking mit Ahnenblatt4.exe und modifizierten Bibliotheken
Im Verlauf der Ausfuehrung entpackt RenEngine in ein temporäres Verzeichnis (z. B. .temp) ein ZIP-Archiv mit mehreren Dateien. Darunter befindet sich die legitime Windows-Anwendung Ahnenblatt4.exe (Genealogie-Software), diverse Bibliotheken sowie eine manipulierte cc32290mt.dll. Diese geänderte DLL wird beim Start von Ahnenblatt4.exe vorrangig geladen und uebernimmt so die Ausfuehrung – ein typischer DLL-Hijacking-Angriff, bei dem eine präparierte Bibliothek anstelle der erwarteten System-DLL verwendet wird, um Schadcode einzuschleusen.
Die kompromittierte DLL initialisiert den modularen Loader HijackLoader, der seit 2023 in mehreren Kampagnen beobachtet wird. In der hier analysierten Welle entschluesselt HijackLoader Shellcode aus der Datei gayal.asp und modifiziert anschliessend im Speicher die legitime Bibliothek dbghelp.dll. Dieses In-Memory-Patching vermeidet sichtbare Schreibvorgaenge auf die Festplatte und erschwert signaturbasierte Erkennung durch klassische Antiviren-Engines.
Mehrstufige Tarnung ueber Systemprozesse und Windows-Transaktionen
In der naechsten Stufe erzeugt HijackLoader einen Prozess cmd.exe im Suspended Mode, injiziert die gepatchte dbghelp.dll und lädt weiteren Code aus der Datei hap.eml nach. Dort wird wiederum die Code-Sektion der Bibliothek pla.dll (Performance Logs and Alerts) ueberschrieben, die schliesslich die Kontrolle uebernimmt. Diese mehrstufige Architektur segmentiert Funktionalität und erschwert die statische und dynamische Analyse, da jede Stufe nur einen Ausschnitt der Gesamtlogik enthaelt.
Die finale Schadkomponente – einer der Stealer Lumma, ACR oder Vidar – wird anschliessend in einen explorer.exe-Kindprozess eingeschleust. Hier nutzen die Angreifer die Windows-Transaktions-API: Die Binärdaten werden in Fragmenten und in anderer Reihenfolge als im Original in eine transaktionale Datei geschrieben, nach dem Laden in den Speicher wird die Transaktion zurueckgesetzt und der temporäre Datentraeger wieder entfernt. Das Ergebnis ist ein im Speicher aktiver Stealer ohne klar zuordenbare Malware-Datei auf dem System – eingebettet in einen vertrauenswuerdigen Systemprozess.
Ziele der Angreifer und betroffene Regionen
Die Kampagne zielt eindeutig auf Datendiebstahl im grossen Stil. Lumma, ACR Stealer und Vidar sind darauf spezialisiert, Browser-Passwoerter, Cookies, Autofill-Daten, Krypto-Wallet-Informationen, Session-Tokens und weitere Zugangsdaten auszulesen. Solche Stealer zählen laut oeffentlich verfuegbaren Branchenreports (u. a. Kaspersky, Group-IB, Verizon) seit Jahren zu den haeufigsten Werkzeugen fuer Kontouebernahmen, Finanzbetrug und den Weiterverkauf von Zugängen in Untergrundforen.
Die Telemetrie von «Laboratorii Kasperskogo» zeigt, dass RenEngine-Infektionen insbesondere in Russland, Brasilien, Tuerkei, Spanien und Deutschland auffallen. Die Verteilung ist breit gestreut, es handelt sich nicht um hochgradig zielgerichtete Angriffe. Jeder, der aktiv nach «free full game», «cracked editor» oder Keygens sucht, gehoert zur Zielgruppe – ein Muster, das auch aus anderen Kampagnen mit Malware in Cracks und Warez-Archiven bekannt ist.
Warum Spiele-Archive ein ideales Versteck fuer Malware sind
Ein wesentlicher Erfolgsfaktor der Kampagne ist der Missbrauch von nicht standardisierten Spiele-Archiven. Viele Engines – darunter Ren’Py – verwenden eigene Archivformate fuer Ressourcen und Skripte. Fuer Sicherheitsprodukte ist es deutlich schwieriger, solche proprietären Strukturen generell zu parsen und die Integrität aller enthaltenen Dateien zu pruefen.
Fehlt im Spiel-Launcher eine strenge Integritaetspruefung (z. B. ueber kryptographische Signaturen), koennen Angreifer veränderte Archive unbemerkt als «Repack» verteilen. Dutzende Spiegel- und Fake-Seiten, die sich als Quellen fuer gecrackte Software ausgeben, verstärken diesen Effekt: Ein Klick auf «Download» liefert nicht nur das erwartete Spiel, sondern gleichzeitig RenEngine, HijackLoader und die Stealer-Payload.
Empfehlungen: So reduzieren Nutzer ihr Risiko deutlich
Praxisbeispiele aus Incident-Response-Faellen zeigen, dass ein grosser Teil der privaten Infektionen auf Warez, Cracks und inoffizielle Repack-Portale zurueckgeht. Der wichtigste Schutzfaktor ist daher ein konsequenter Verzicht auf solche Quellen und die Nutzung offizieller Stores und Herstellerseiten – sowohl im privaten Umfeld als auch in Unternehmen, wo Richtlinien das explizit verbieten sollten.
Ergaenzend sollten aktuelle Endpoint-Schutzloesungen (AV, EDR) eingesetzt und Betriebssysteme sowie Browser zeitnah gepatcht werden. Sinnvoll ist zudem, die Ausfuehrung von Programmen aus temporären Verzeichnissen und direkt aus Archiven einzuschraenken, da viele Loader – wie im Fall RenEngine – genau diese Pfade nutzen. Auffälligkeiten wie dauerhaft hängende Ladebildschirme, unerwartete Konsolenfenster oder spontane Neustarts von explorer.exe sollten ernst genommen und umgehend untersucht werden.
Wer sich dieser Angriffsvektoren bewusst ist und konsequent auf «kostenlose» inoffizielle Downloads verzichtet, reduziert das Risiko, in komplexe Infektionsketten wie RenEngine mit HijackLoader und Stealer-Payloads hineingezogen zu werden, erheblich. Es lohnt sich, Sicherheitsbewusstsein im eigenen Umfeld zu staerken, Richtlinien zu schärfen und regelmaessig ueber neue Malware-Trends informiert zu bleiben – denn wo Nutzer bereitwillig Sicherheitsregeln fuer ein Gratis-Spiel umgehen, finden Cyberkriminelle immer neue kreative Wege zum Datendiebstahl.
