Piratske igre šire malver: Ugroženo 400.000 PC računara do sada, a brojke samo mogu da porastu
Istraživači renomirane sajber-bezbednosne kompanije Malwarebytes izdali su hitno upozorenje o novoj, masovnoj kampanji koja koristi piratske verzije popularnih PC igara za inficiranje Windows operativnih sistema. Prema zvaničnim procenama, uspešno je zaraženo više od 400.000 uređaja širom sveta, što ovu operaciju svrstava u jednu od najvećih bezbednosnih pretnji za gejming zajednicu u poslednje vreme.
Napadači distribuiraju zlonamerni kod kroz nelegalne i modifikovane instalacione pakete za planetarno popularne AAA naslove, među kojima su Far Cry, Need for Speed, EA Sports FC i Assassin’s Creed. Metod infekcije je dizajniran tako da bude jednostavan, ali izuzetno efikasan: korisnik dobija potpuno funkcionalnu, besplatnu verziju igre, dok se u pozadini, bez ikakvog podizanja sumnje, pokreće opasan proces.
Kako funkcioniše skriveni RenEngine loader?
Istraživački tim je ovu specifičnu pretnju nazvao „RenEngine loader„. Naziv potiče od činjenice da se ključni deo zlonamernog koda krije unutar legitimnog, otvorenog alata Ren’Py, koji se inače masovno koristi za pokretanje određenih vizuelnih novela i video igara.
Sam po sebi, Ren’Py nije zlonameran softver. Međutim, hakeri ga zloupotrebljavaju kao kamuflažu. Budući da bezbednosna rešenja i antivirusni skeneri prepoznaju Ren’Py kao legitiman i bezopasan izvršni fajl, napadači unutar njegovih skripti ubacuju skrivene komande. Kada korisnik pokrene igru, pokreće se i skriveni loader koji na računar neprimetno svlači glavne pretnje sa udaljenih servera.
Krajnji cilj: Krađa identiteta, lozinki i kriptovaluta
Primarni zadatak ove kampanje jeste isporuka naprednog infostealer malvera pod nazivom ARC (poznatiji u bezbednosnim krugovima i kao ACR Stealer). Ovaj malver ima samo jednu svrhu – da tiho opustoši digitalni život žrtve.
Nakon uspešne infiltracije, sistem započinje krađu sledećih podataka:
Ne propustite ovo
- Sačuvane lozinke i kredencijali direktno iz veb pregledača (Chrome, Firefox, Edge).
- Kolačići sesija (session cookies) koji napadačima omogućavaju zaobilaženje dvofaktorske autentifikacije (2FA).
- Podaci za automatsko popunjavanje formulara i istorija pretrage.
- Sadržaj privremene memorije (clipboard) – česta meta su kopirane kripto adrese.
- Privatni ključevi i podaci iz hladnih i toplih kripto novčanika.
Daljinska kontrola: Rhadamanthys, AsyncRAT i XWorm
Pored infostealera, Malwarebytes je zabeležio da RenEngine služi i kao ulazna kapija za znatno agresivnije pretnje. Nakon bazične krađe podataka, loader često instalira sekundarne payload-e:
| Naziv detektovanog malvera | Tip pretnje | Operativne sposobnosti na sistemu |
| ARC / ACR Stealer | Infostealer | Krađa lozinki, kolačića sesije i podataka iz browsera |
| Rhadamanthys | Advanced Stealer | Duboka ekstrakcija sistemskih podataka i kripto novčanika |
| AsyncRAT | RAT (Remote Access Trojan) | Potpuni daljinski nadzor, snimanje ekrana i kontrola periferija |
| Backdoor.XWorm | Backdoor / Trojan | Omogućava hakerima trajan pristup i instalaciju novih virusa |
Ovi alati napadačima pružaju mogućnost da u realnom vremenu prate šta radite na računaru, preuzmu kontrolu nad vašom tastaturom i mišem, ili da vaš PC pretvore u deo botnet mreže.
Kako prepoznati infekciju i zaštititi se?
Stručnjaci upozoravaju na najopasniji aspekt ove kampanje: korisnici najčešće ne primete da im je računar kompromitovan. Budući da preuzeta piratska igra radi savršeno i bez greške, gejmeri nemaju razloga za sumnju sve dok ne primete neovlašćene upade na svoje profile, finansijske prevare ili nestanak kriptovaluta.
Da biste osigurali svoj sistem, pridržavajte se sledećih bezbednosnih protokola:
- Izbegavajte nezvanične izvore: Preuzimanje igara sa torenata ili neproverenih sajtova koji nude „besplatne krekove“ nosi stopostotni rizik od infekcije.
- Koristite napredna bezbednosna rešenja: Standardni Windows Defender nekada može propustiti modifikovane skripte, pa se preporučuje korišćenje ažuriranih antivirusnih paketa sa aktivnom bihevioralnom analizom.
- Redovno ažurirajte sistem: Instalacija najnovijih bezbednosnih zakrpa za Windows drastično smanjuje šansu da malveri poput XWorm-a iskoriste propuste u jezgru sistema.
Često postavljana pitanja (FAQ)
Šta je to RenEngine loader?
To je zlonamerni softverski mehanizam koji zloupotrebljava legitimne datoteke pokretača igara Ren’Py kako bi sakrio prisustvo virusa unutar piratskih instalacija i bezbedno preuzeo malver na žrtvin PC.
Koje igre napadači najčešće koriste kao mamac?
Istraživači su zabeležili modifikovane pakete za popularne franšize kao što su Far Cry, Need for Speed, EA Sports FC i Assassin’s Creed, jer privlače milione igrača širom sveta.
Kako da znam da li mi je računar zaražen ovim malverom?
Pošto malver radi neprimetno, najsigurniji način provere je duboko skeniranje sistema namenskim alatima (poput Malwarebytes ili Kaspersky softvera) koji imaju ažurirane baze za detekciju Rhadamanthys i XWorm pretnji.
