编辑寄语:在持续打击恶意软件的战斗中,RenEngine的传播范围凸显了攻击者如何利用可信软件渠道来扩大受害者基础。今日卡巴斯基威胁研究的简报强调了一种多阶段感染方式,已从游戏扩展到广泛使用的破解生产力工具。研究结果强调了验证软件来源和在个人及企业环境中保持更新防御的重要性。随着网络威胁日益与合法工作流程融合,读者应审查安全措施,警惕非官方安装程序,并考虑威胁行为者如何 opportunistically 适应新的分发方式。本次更新为高管、IT团队和安全专业人士提供了应对快速变化威胁环境的背景信息。
要点
RenEngine加载器通过数十个盗版软件网站分发,不仅限于破解游戏。
最终载荷包括Lumma、ACR Stealer和Vidar,涉及多种感染链。
分发模式具有 opportunistic 和区域性特点,而非针对性。
该行动利用基于Ren’Py引擎的游戏安装程序,配备假加载界面以部署恶意软件。
为何重要
从游戏扩展到破解生产力软件,扩大了潜在受害者群体,也增加了个人和组织的风险。攻击者采用多阶段投递、反分析检测和广泛分发策略,以绕过防御。组织应加强软件来源验证、用户教育和基于行为的检测,以识别伪装成合法软件的恶意活动。
接下来应关注
关注携带RenEngine的破解软件新分发站点或软件包。
监控安全厂商关于HijackLoader基础的多载荷行动的最新动态。
追踪任何与RenEngine或相关加载器相关的新载荷家族。
披露:以下内容为公司/公关代表提供的新闻稿,旨在提供信息。
卡巴斯基确认RenEngine加载器通过盗版游戏和软件传播
卡巴斯基确认RenEngine加载器通过盗版游戏和软件传播
2026年2月23日
卡巴斯基威胁研究公布了对近期引起公众关注的恶意软件加载器RenEngine的分析。卡巴斯基早在2025年3月就已识别出RenEngine样本,当时其解决方案已开始保护用户免受该威胁。
除了近期报道中的破解游戏外,卡巴斯基研究人员发现攻击者创建了数十个网站,通过盗版软件(包括CorelDRAW等图形编辑软件)传播RenEngine。这将已知的攻击面从游戏社区扩展到任何寻求未授权软件的用户。
卡巴斯基已在俄罗斯、巴西、土耳其、西班牙和德国等国家记录到相关事件。分发模式显示为 opportunistic 攻击,而非针对性行动。
当卡巴斯基首次识别RenEngine时,加载器正用于传播Lumma Stealer。目前的攻击将ACR Stealer作为最终载荷,有些感染链中也观察到Vidar Stealer。
该行动利用基于Ren’Py视觉小说引擎的修改版游戏。当用户启动感染的安装程序时,会出现假加载界面,同时后台执行恶意脚本。这些脚本包括沙箱检测功能,并解密载荷,启动多阶段感染链,使用模块化的恶意软件投递工具HijackLoader。
“这一威胁已超出盗版游戏的范围——攻击者利用相同技术,通过破解的生产力软件传播恶意软件,极大地扩大了潜在受害者群体。”
——卡巴斯基威胁研究首席恶意软件分析师 Pavel Sinenko
“游戏存档格式因引擎和游戏而异。如果引擎未检查资源完整性,攻击者就能嵌入在点击‘播放’时立即执行的恶意软件。”
卡巴斯基的解决方案将RenEngine检测为Trojan.Python.Agent.nb和HEUR:Trojan.Python.Agent.gen。HijackLoader被检测为Trojan.Win32.Penguish和Trojan.Win32.DllHijacker。
为确保安全,卡巴斯基建议:
仅从官方渠道下载游戏和软件。盗版内容仍是最常见的恶意软件投递方式之一。
使用可靠的安全解决方案。卡巴斯基Premium通过其行为检测组件,能在恶意软件伪装成合法软件时识别威胁。
保持操作系统和应用程序的最新状态,修补已知漏洞。
对“免费”优惠保持警惕。如果在非官方站点免费下载付费游戏或软件,安全风险可能在其中。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全与数字隐私公司。迄今已保护超过十亿台设备免受新兴网络威胁和定向攻击,凭借深厚的威胁情报和安全专业知识,不断创新解决方案和服务,保护个人、企业、关键基础设施和政府机构。其全面的安全产品组合包括个人设备的数字生活保护、企业专用安全产品与服务,以及应对复杂不断演变的数字威胁的Cyber Immune解决方案。我们帮助数百万个人用户和近20万企业客户保护他们最关心的资产。了解更多请访问www.kaspersky.com。
本文最初发表于Crypto Breaking News,标题为“卡巴斯基识别通过盗版软件传播的RenEngine加载器”。