Команда экспертов по кибербезопасности Howler Cell выявила масштабную атаку на пользователей пиратского ПО. Злоумышленники внедряют вредоносный код в переделанные установщики популярных видеоигр, таких как Far Cry, Need for Speed, FIFA и Assassin’s Creed. Активность этой кампании фиксируется с апреля 2025 года, и с каждым днем заражаются тысячи новых компьютеров.
В основе атаки лежит инструмент RenEngine Loader. Вирус маскируется под легальный лаунчер, созданный на движке Ren’Py, что помогает ему обходить защитные системы. После запуска программа проверяет окружение — анализирует память, диски и процессы, чтобы убедиться, что работает на реальном устройстве, а не в изолированной среде анализа.
Если проверка пройдена, в дело вступает HijackLoader. Этот модуль использует сложные методы, чтобы скрытно загрузить в систему финальную вредоносную нагрузку — вору данных ACR Stealer. Он собирает пароли из браузеров, банковские данные, файлы cookie и информацию с криптокошельков, отправляя всё на серверы злоумышленников.
Масштабы заражения огромны: по данным телеметрии, уже пострадали более 400 000 пользователей по всему миру, в основном из Индии, США, Бразилии и России. Ежедневно фиксируется около 5 000 новых подключений к ботнету.
Угроза распространяется через сайты с пиратскими играми и модами. Из-за модульной структуры и легальных компонентов Ren’Py многие антивирусы пока с трудом обнаруживают эту атаку. Специалисты настоятельно советуют избегать загрузки файлов из непроверенных источников, поскольку даже рабочие на вид установщики могут оказаться шпионским ПО.
