Pobierasz gry za darmo? Może już jest za późno na ratunek twojego komputera

W sieci rozprzestrzenia się nowa kampania wymierzona w użytkowników systemu Windows, która wykorzystuje popularność pirackich wydań gier. Badacze bezpieczeństwa informują o setkach tysięcy potencjalnych infekcji na całym świecie i wskazują, że skala zjawiska rośnie od wielu miesięcy. Za dystrybucję odpowiada mechanizm ukryty w zmodyfikowanych instalatorach znanych tytułów.

Analitycy firmy Cyderes, specjalizującej się w cyberbezpieczeństwie, opisali zagrożenie jako RenEngine Loader. Nazwa nawiązuje do faktu, że fragment złośliwego kodu został wpleciony w legalne narzędzie powiązane z silnikiem Ren’Py, używanym przy produkcji gier typu visual novel. Z punktu widzenia użytkownika pobrany tytuł uruchamia się normalnie i pozwala na rozgrywkę, podczas gdy w tle aktywowany jest dodatkowy komponent.

Darmowy dostęp do drogich tytułów bywa dla wielu kuszący, a przestępcy od lat budują wokół tej potrzeby własne modele biznesowe.

Zaufany instalator jako koń trojański

W analizowanych próbkach uruchomienie programu prowadzi do dekompresji archiwum z plikami gry. Ten sam proces inicjuje instalację niepożądanego oprogramowania. Działanie przebiega dyskretnie i nie wymaga żadnej dodatkowej interakcji ze strony ofiary.

Cyderes podaje, że kampania dotyczy między innymi złamanych wersji produkcji z serii Far Cry, Need for Speed, FIFA czy Assassin’s Creed. Popularność marek przyciąga ogromną liczbę użytkowników poszukujących darmowych kopii, a to tworzy idealne środowisko dla operatorów ataku.

Setki tysięcy śladów aktywności

Badacze twierdzą, że złośliwy kod funkcjonuje przynajmniej od kwietnia ubiegłego roku i pozostaje aktywny. W październiku do próbek dodano moduł telemetrii. Wewnątrz programu umieszczono adres serwera, z którym kontakt następuje przy każdym uruchomieniu loadera.

Na podstawie zebranych danych oszacowano liczbę potencjalnych ofiar na ponad 400 tysięcy urządzeń. W typowym dniu infrastruktura napastników rejestruje od kilku do kilkunastu tysięcy nowych połączeń. Najwięcej przypadków ma pochodzić z Indii, Stanów Zjednoczonych i Brazylii. W raporcie wskazano również domenę dodi-repacks[.]site jako jedno z miejsc hostujących pliki zawierające szkodliwe komponenty. Ten adres pojawiał się wcześniej przy innych operacjach związanych z dystrybucją malware.

Kradzież danych i przejmowanie kontroli

RenEngine Loader pełni rolę pośrednika. Jego zadaniem jest dostarczenie kolejnych narzędzi na zainfekowany komputer. W wielu sytuacjach badacze obserwowali instalację programu ARC, zaliczanego do grupy tzw. infostealerów. Taki malware potrafi przeszukiwać system w poszukiwaniu zapisanych haseł do przeglądarek, plików cookie, danych autouzupełniania formularzy czy informacji przechowywanych w schowku. Interesują go także portfele kryptowalut oraz szczegóły konfiguracji komputera.

Cyderes informuje, że w innych kampaniach z użyciem tego samego loadera pojawiały się również Rhadamanthys, Async RAT oraz XWorm. To narzędzia dające napastnikom szeroki dostęp do zasobów maszyny i możliwość zdalnych działań.

Ochrona wciąż ma luki

Wstępne analizy pokazują, że wiele popularnych rozwiązań antywirusowych nie identyfikuje zagrożenia na wczesnym etapie. W testach widoczność wykazywały produkty Avasta, AVG i Cyneta. Reszta silników często pozostawała bierna do momentu pobrania kolejnego ładunku.

Eksperci podkreślają, że użytkownicy podejrzewający infekcję powinni rozważyć przywrócenie systemu do wcześniejszego stanu lub pełną reinstalację. Przy obecności stealerów trudno mieć pewność, jakie dane zostały już wyprowadzone poza komputer.