Вирус атаковал владельцев взломанных игр – заражены сотни тысяч ПК

Черный день в истории сторонников бесплатного распространения контента.

Специалисты по кибербезопасности из компании Cyderes выявили масштабную кампанию по распространению трояна, использующую загрузчик RenEngine. С апреля 2025 года эта угроза заразила более 400 тысяч компьютеров под Windows по всему миру, причем ежедневно фиксируется от 4 до 10 тысяч новых заражений.

Основным каналом распространения стали взломанные версии популярных игр для ПК, таких как Far Cry, Need for Speed, FIFA и Assassin's Creed. Злоумышленники встраивают вредоносный код в установщик игрового движка Ren'Py. Как связаны движок для визуальных новелл и ААА-игры?


Ну, атака состоит из нескольких этапов: сначала загрузчик движка, замаскированный под инсталлятор, проводит проверку системы на наличие виртуальных сред. Если проверка на реальность компа пройдена, он расшифровывает и запускает следующий этап – модульный загрузчик HijackLoader, который, в свою очередь, завершает вредоносное дело, распаковывая вредоносные файлы из папки, где обычно игры на Ren хранят свои анимешные картинки.


Финалом атаки чаще всего становится установка стилера ARC, предназначенного для кражи данных. Он собирает сохраненные пароли из браузеров, файлы cookie, данные криптокошельков, информацию из буфера обмена и системные сведения. Также через инсталлятор могут быть распакованы и другие «подарки», включая Rhadamanthys, Async RAT и Xworm.

Вся эта схема не выглядит замысловатой, но почему-то многие антивирусы не срабатывали на атаку. Наибольшее количество зараженных систем зафиксировано в Индии, США, Бразилии и России. Откуда это известно? Для отслеживания своих успехов хакеры с октября 2025 года внедрили телеметрический модуль, отправляющий собранные данные на сервер.

---

По данным Cyderes, раннее обнаружение зловредной программы обеспечивают лишь продукты Avast, AVG и Cynet. К слову, ни один из них не пользуется хорошей репутацией среди обычных пользователей.