Дослідники компанії Howler Cell виявили масштабну кампанію розповсюдження шкідливого ПЗ через піратські ігри та зламаний софт. У центрі атаки стоїть новий завантажувач RenEngine, інтегрований у модифіковані лаунчери ігор на рушії Ren’Py. За даними спеціалістів, перші зразки ланцюжка з’явилися ще в березні 2025 року, а кінцевим етапом інфекції стає запуск популярних стилерів даних Lumma Stealer, ACR Stealer та Vidar Stealer.
Піратські ігри та псевдолегальні сайти як головний вектор атаки
Сценарій зараження побудований на типовій поведінці користувачів, які шукають «безкоштовно завантажити» гру чи комерційний софт. Людина переходить на ігровий портал або сайт із «кряками», натискає кнопку «Скачать» і потрапляє в ланцюжок редиректів, що завершується файлообмінником Mega. На пристрій завантажується архів, який нібито містить гру, репак чи зламану версію платної програми.
Після розпакування та запуску користувач бачить нескінченний екран завантаження на 100% і часто списує це на збій гри. Насправді в цей момент активується ланцюжок запуску шкідливого ПЗ: Python-скрипти RenEngine імітують інтерфейс гри, обходять базові механізми пісочниці та паралельно розшифровують і розгортають малварь.
Ланцюжок зараження RenEngine: від інфікованого лаунчера до стилера паролів
Підміна легітимного ПЗ та DLL hijacking
На проміжному етапі скрипти розпаковують до тимчасової директорії (наприклад, .temp) ZIP-архів з п’ятьма файлами. Серед них — легітимний застосунок Ahnenblatt4.exe (програма для ведення генеалогічних даних), кілька бібліотек і модифікована cc32290mt.dll. Саме ця пропатчена DLL перехоплює управління під час запуску Ahnenblatt4.exe та ініціює першу стадію — старт модульного завантажувача HijackLoader.
Техніка DLL hijacking полягає в тому, що замість справжньої бібліотеки підсовується шкідлива з тією ж назвою. Додаток завантажує її автоматично, вважаючи легітимною, і тим самим неусвідомлено запускає шкідливий код.
In-memory patching та багатостадійне маскування
HijackLoader розшифровує шелкод із файлу gayal.asp та змінює в пам’яті вміст системної бібліотеки dbghelp.dll, використовуючи техніку in-memory patching. Це дозволяє уникати збереження шкідливого коду на диск і ускладнює його виявлення класичними антивірусами, орієнтованими на файлові сигнатури.
Далі HijackLoader створює процес cmd.exe у призупиненому стані, завантажує до нього змінений код dbghelp.dll і підтягує наступну стадію з файлу hap.eml. На цьому етапі перезаписується секція коду бібліотеки pla.dll і управління передається вже їй. Подібна багатостадійна архітектура сегментує функціональність і значно ускладнює аналіз шкідливого ПЗ фахівцями з кібербезпеки.
Впровадження у explorer.exe через транзакції Windows
Фінальна корисна нагрузка — стилери Lumma, ACR Stealer або Vidar — записується в пам’ять дочірнього процесу explorer.exe з використанням транзакцій Windows API. Дані передаються частинами й у зміненому порядку відносно оригінального файлу, після чого транзакція відкочується, а тимчасовий файл видаляється.
Потім шкідливий модуль впроваджується в explorer.exe через спільну пам’ять. Таким чином стилер маскується під довірений системний процес, знижуючи ймовірність виявлення захисними рішеннями та ручного аналізу користувачем.
Які дані викрадають Lumma, ACR та Vidar Stealer
Головна мета кампанії — крадіжка конфіденційних даних. Стилери Lumma, ACR Stealer та Vidar спеціалізуються на зборі облікових даних браузерів, cookie-файлів, збережених паролів, даних криптогаманців, токенів автентифікації й іншої чутливої інформації.
Отримані дані продаються на підпільних ринках або використовуються в подальших атаках: викрадення акаунтів у соцмережах та ігрових сервісах, обхід двофакторної автентифікації, фінансове шахрайство. За телеметрією, найбільше спрацювань RenEngine зафіксовано в Бразилії, Туреччині, Іспанії та Німеччині. Кампанія має масовий характер: під удар потрапляє будь-хто, хто свідомо шукає піратські ігри, кряки, кейгенератори та репаки.
Чому архіви ігор — зручний контейнер для шкідливого ПЗ
Формати ігрових архівів зазвичай не стандартизовані і часто унікальні для конкретної гри або рушія. Це ускладнює автоматичний аналіз їхнього вмісту. Якщо рушій (як-от Ren’Py) не реалізує жорстку перевірку цілісності й автентичності ресурсів і скриптів, будь-який модифікований архів може стати прихованим контейнером для малварі.
Кіберзлочинці активно цим користуються: розгортають десятки дзеркал і сайтів-одноденок, які імітують легальні джерела зламаного софту. Натискання знайомої кнопки «Скачать» фактично запускає ланцюжок редиректів, у результаті якого користувач отримує не лише «бажаний» репак, а й повний набір шкідливих компонентів.
Як захиститися: рекомендації для геймерів і домашніх користувачів
Знизити ризик зараження в подібних сценаріях відносно просто. Ключова міра — повна відмова від піратських ігор та зламаних програм. Завантажуйте софт лише з офіційних магазинів (Steam, GOG, Epic Games Store тощо) та сайтів розробників, навіть якщо це потребує витрат.
Обов’язковими мають бути актуальний антивірус або EDR-рішення, регулярне оновлення операційної системи та програм, а також обмеження запуску додатків із тимчасових папок і безпосередньо з архівів. Варто звертати увагу на підозрілу поведінку: несподівані «вічні» екрани завантаження, раптові вікна командного рядка, нестандартні перезапуски провідника Windows.
Чим рідше користувач покладається на «безкоштовні» неофіційні джерела, тим нижча ймовірність зіткнутися з ланцюжками зараження на кшталт RenEngine. Інвестуйте в ліцензійні ігри, надійні захисні рішення та базову кібергігієну — це значно дешевше, ніж відновлення втрачених акаунтів, криптоактивів та репутації після успішної роботи стилера паролів.
