Специалисты по кибербезопасности из группы угроз Howler Cell (компания Cyderes) раскрыли детали масштабной и продолжающейся кампании по хищению данных. С апреля 2025 года злоумышленники используют взломанные версии популярных компьютерных игр для распространения сложного вредоносного ПО, заразившего уже свыше 400 тысяч систем по всему миру.
В отличие от типичных массовых атак, злоумышленники делают ставку не на эксплуатацию уязвимостей, а на социальную инженерию. Это подчеркивает критическую важность регулярных программ обучения киберграмотности для формирования у пользователей устойчивых навыков распознавания угроз. Жертвы самостоятельно загружают и запускают «крякнутые» инсталляторы игр, позволяющие бесплатно играть в коммерческие проекты. Среди скомпрометированных тайтлов значатся такие серии, как Far Cry, Need for Speed, FIFA и Assassin's Creed. Вирус распространяется через неофициальные сайты с репаками и модами, пользующиеся доверием в соответствующих сообществах.
Внешне такие сборки работают корректно, однако параллельно на компьютер незаметно устанавливается вредоносный код. Его ядром является ранее неизвестный загрузчик RenEngine Loader, встроенный в легитимные игровые лаунчеры, созданные на движке Ren'Py.
Атака построена по сложной цепочке:
- Начальная нагрузка: Запущенный лаунчер активирует RenEngine Loader, который проводит тщательную проверку окружения (объем ОЗУ, диска, наличие признаков анализа в песочнице или виртуальной машине).
- Продвинутый загрузчик: При успешной проверке декодируется и запускается модифицированная версия HijackLoader. Этот загрузчик использует набор современных техник уклонения (DLL-сайдлоадинг, process hollowing, подмену стека вызовов), чтобы скрыть вредоносную активность в легитимных процессах Windows.
- Кража данных: Финальным этапом становится запуск ACR Stealer (также известного как ARC Stealer). Этот мощный стиллер собирает сохраненные пароли, cookies браузеров, данные криптовалютных кошельков, информацию для автозаполнения, содержимое буфера обмена и системные сведения, отправляя все на серверы злоумышленников.
Исследователи отмечают, что модульная архитектура и использование легитимных компонентов делают угрозу устойчивой к статическому анализу и автоматическим песочницам.
По данным телеметрии, встроенной в сам вредонос, ежедневно фиксируется от 4000 до 10000 новых заражений. Наибольшее число жертв зафиксировано в Индии, США, Бразилии и России, однако атака носит глобальный характер и остается активной в начале 2026 года.
Эксперты рекомендуют:
- Проявить бдительность к подозрительной активности: неожиданным сетевым запросам, появлению новых процессов и странных файлов в папках ProgramData и AppData.
- Владельцам игровых ПК, которые ранее устанавливали пиратские сборки указанных игр, рекомендуется провести полное сканирование системы с использованием современных средств защиты. В случае серьезных подозрений на заражение может потребоваться использование средств восстановления Windows или полная переустановка операционной системы.
- Модернизацию защиты конечных точек: переход от классических антивирусов к решениям с EDR-функционалом для детектирования сложных атак.
- Внедрение DLP-систем: для контроля и блокировки попыток передачи украденных данных (паролей, ключей) за пределы корпоративной сети.
