Trình tải RenEngine, lan truyền qua các bản sao game bất hợp pháp, đã lây nhiễm 400 000 máy tính

Các mối đe dọa mạng: Virus tải RenEngine đã tấn công hơn 400 000 máy tính

Các chuyên gia an ninh mạng phát hiện một gói phần mềm độc hại mới – RenEngine loader, được ước tính đã lây nhiễm trên hơn bốn trăm nghìn máy tính chạy Windows trên toàn thế giới. Virus này lan truyền cùng với các bản sao pirate của những trò chơi PC phổ biến.

Cách phát hiện và cách lan truyền
- Các nhà nghiên cứu Cyderes tìm thấy mối đe dọa trong các bản phân phối trái phép của các sê-ri như *Far Cry*, *Need for Speed*, *FIFA* và *Assassin’s Creed*.
- Phần mềm độc hại được nhúng vào trình cài đặt “đúng” của trò chơi Ren’Py, từ đó nó nhận tên *RenEngine loader*.
- Nó tồn tại ít nhất kể từ tháng Tư năm ngoái và vẫn hoạt động. Vào tháng Mười, nó đã được cập nhật lớn: thêm một mô-đun thu thập dữ liệu (telemetry), mà mỗi lần khởi chạy sẽ liên lạc với một địa chỉ cố định.

Quy mô nhiễm
- Theo dữ liệu của các nhà nghiên cứu, hơn 400 000 máy đã bị ảnh hưởng.
- Mỗi ngày phần mềm độc hại ghi nhận từ 4 000 đến 10 000 nạn nhân mới.
- Nơi có mật độ cao nhất là Ấn Độ, Hoa Kỳ, Brazil và Nga.
- Các trò chơi nhiễm virus được tải xuống từ một trang web duy nhất, đã từng được sử dụng trong các chiến dịch mạng khác.

Những gì RenEngine loader làm
1. Cài đặt phần mềm trộm dữ liệu ARC: thu thập mật khẩu lưu trữ của trình duyệt, cookie, dữ liệu ví tiền điện tử và tự động điền, thông tin hệ thống và nội dung clipboard.
2. Thông qua trình tải, triển khai các payload bổ sung: Rhadamanthys, Async RAT và Xworm – tất cả đều được thiết kế để trộm dữ liệu và điều khiển máy tính từ xa.

Bảo vệ và phản ứng của phần mềm diệt virus
- Trong giai đoạn đầu của cuộc tấn công, chỉ Avast, AVG và Cynet nhận diện RenEngine loader.
- Trong các trường hợp khác, khi nghi ngờ nhiễm virus, nên sử dụng công cụ khôi phục Windows hoặc cài đặt lại hệ thống hoàn toàn.

Kết luận: Virus tải RenEngine tiếp tục lây nhiễm máy tính trên toàn thế giới qua trò chơi pirate, thu thập dữ liệu cá nhân và cung cấp quyền truy cập từ xa cho kẻ tấn công. Người dùng nên cập nhật phần mềm diệt virus lên phiên bản mới nhất và tránh tải xuống trò chơi từ các nguồn đáng ngờ.