マルウェアファミリー「RenEngine Loader」は、一見すると正規のRen’Pyベースのゲームランチャーに埋め込まれた悪意あるロジックが発見されたことを受けて注目されています。
このオペレーションは2025年4月から活動しており、すでに世界で40万人以上の被害者が侵害されています。特にインド、米国、ブラジルに重点を置いた地域的な偏りが見られます。
このキャンペーンは現在、Far Cry、FIFA、Assassin’s Creedといった人気ゲームの海賊版に悪意あるコードを隠すことで、1日あたり約5,000台の新規マシンに感染させています。
攻撃は、ユーザーが海賊版サイトから「クラック版」ゲームやMODをダウンロードするところから始まります。脅威アクターは「RenEngine Loader」と呼ばれる新しいマルウェアファミリーを開発しました。
攻撃者は標準的な実行ファイルを使う代わりに、Ren’Pyビジュアルノベルエンジンを基盤とする正規のゲームランチャー内に悪意あるロジックを隠しています。
Howler Cell脅威リサーチチームは、少なくとも2025年4月以降に活動し現在も継続している、アクティブで高度に進化したスティーラーキャンペーンを解明しました。
マルウェアはRen’Pyのアーカイブファイル(archive.rpa)に埋め込まれています。ユーザーがゲーム(Instaler.exe)を起動すると、正規のエンジンが意図せず、アーカイブ内に隠されたコンパイル済みPythonスクリプト(script.rpyc)を実行します。
多段階実行
この「Living off the land(正規機能の悪用)」手法により、マルウェアは通常のアプリケーション動作を装うことができ、従来型のアンチウイルスによる検知率を大幅に低下させます。
ステージ1:RenEngine Loaderとサンドボックス回避
起動すると、RenEngine Loaderは厳格な「サンドボックスチェック」を実行し、実際の被害者のマシン上で動作しているのか、それともセキュリティ研究者のラボ環境なのかを判定します。以下を含むシステム属性に基づいてスコアを算出します。
- RAMとディスク容量:現実的なハードウェア仕様かを確認(例:RAMが4GB超)。
- マウス操作:ユーザーの操作があるかを検証。
- 仮想化の痕跡:VMware、VirtualBox、QEMUに関連するドライバーやレジストリキーをスキャン。
システムの「スコア」が低すぎる(サンドボックスの可能性が高い)場合、マルウェアは黙って終了します。環境が安全と判断されると、Base64とXORエンコードを用いて次のステージを復号します。
ステージ2:進化したHijackLoader
RenEngineは実行を、新たな高度にモジュール化されたHijackLoaderの亜種へ引き渡します。このステージでは、 DLLサイドローディング やモジュール・ストンピングなどの高度な回避技術を用い、信頼されたシステムプロセスに溶け込むように動作します。
この亜種には38種類の異なるモジュールが搭載されており、GPU仮想化(ANTIVMGPU)やハイパーバイザー固有の特性を検出するために明示的に設計された新機能も含まれます。最終段階では、HijackLoaderが、正規プロセスを空洞化して最終ペイロードを注入する高度なコード注入手法であるProcess Doppelgängingを使用します。
最終ペイロード:ACR Stealer
このページのDownload Setupボタンをさらにクリックすると、海賊版セットアップのzip(RenEngine Loaderを含む)を含むMediaFireのダウンロードページへリダイレクトされ、初期ペイロードのドロップチェーン全体が展開されます。
- ブラウザのパスワードとCookie。
- 暗号資産ウォレットのデータ。
- システム情報およびクリップボードの内容。
このキャンペーンは、マルウェア配布手法の大きな進化を示しています。正規のゲームエンジンの悪用と、厳格な環境チェックが可能な多段階・モジュール型ローダーを組み合わせることで、脅威アクターは現代のセキュリティ制御を効果的に回避する、持続的かつステルス性の高い感染チェーンを作り上げました。
翻訳元: https://gbhackers.com/renengine-loader/
