Stfw.Ru
Xavier Cee / unsplash.com
Угрозу обнаружили исследователи из компании Cyderes — вирус поставляется, в частности, с играми серий Far Cry, Need for Speed, FIFA и Assassin’s Creed. Вредоносу присвоили название RenEngine loader — он внедряется в легитимный установщик игр Ren’Py. Вирус существует как минимум с апреля прошлого года и остаётся активным; в октябре он получил крупное обновление с модулем телеметрии и обращением к одному адресу при каждом запуске. По этому адресу исследователи подсчитали, что к настоящему моменту заражены более 400 000 машин.
Ежедневно вредонос регистрирует от 4000 до 10 000 жертв — наибольшая концентрация пострадавших зафиксирована в Индии, США, Бразилии и России. Эксперты указали адрес сайта, через который скачиваются заражённые игры — он и ранее был замечен в других кампаниях по распространению вредоносного ПО.
География распространения RenEngine. cyderes.com
Загрузчик RenEngine пытается установить на ПК программу для кражи данных ARC, которая собирает такую информацию как «сохранённые пароли браузера, файлы cookie, данные криптовалютных кошельков и средств автозаполнения, сведения о системе и содержимое буфера обмена». Через RenEngine loader устанавливались и другие полезные нагрузки, в том числе Rhadamanthys, Async RAT и Xworm — они используются для кражи данных и удалённого управления ПК.
Из популярных антивирусов на RenEngine loader на ранних этапах реагируют пока только Avast, AVG и Cynet. В остальных случаях при подозрении на заражение рекомендуется воспользоваться средствами восстановления Windows или переустановить систему.
