高度な新たなマルウェアキャンペーン「RenEngine Loader」が、世界中で40万人以上の被害者に影響を与えています。
攻撃者は、セキュリティ制御を回避して検知を逃れ、手動分析を困難にするよう設計された、ステルス性の高い多段階の実行チェーンを使用します。
正規のアプリケーション内にモジュール式の第2段階ローダーを埋め込むことで、RenEngine Loaderは通常のアプリケーション動作を大幅に模倣し、初期段階での検知をはるかに難しくしています。
2025年4月の初出現以降、RenEngine Loaderキャンペーンは毎日5,000人以上の新たな被害者への感染を継続しています。
このキャンペーンはソーシャルエンジニアリング手法と技術的な回避策を組み合わせ、マルウェアが持続し効率的に拡大できるようにしています。
攻撃者は、正規のゲームランチャーであるRen’Pyを悪用して悪意のあるペイロードを配布します。Ren’Pyのアーカイブ内に悪意のあるスクリプトを埋め込むことで、マルウェアを目立たない形で隠し、実行中に通常のアプリケーションのように振る舞えるようにしています。
RenEngine Loaderキャンペーンは、海賊版プラットフォームで入手可能なことが多い、クラック版または改造版のゲームインストーラーの配布から始まります。
これらのファイルは、Far Cry、Need for Speed、FIFA、Assassin’s Creedといった人気ゲームの事前アクティベート版やクラック版として宣伝されます。ユーザーはこれらのファイルを信頼し、追加の検証を行わずに実行してしまいますが、その中に悪意のあるペイロードが含まれていることに気づきません。
RenEngine Loaderキャンペーンは、モジュール型マルウェア配布の増加傾向を示す高度な脅威です。単純な「手早く感染させる」タイプの感染とは異なり、このキャンペーンは、進化可能なペイロードを含む、慎重に作り込まれた多段階プロセスを伴います。
正規のゲームランチャーを用いて悪意のあるペイロードを配布する手口は、サイバー犯罪者の高度化が進んでいることを示しており、彼らは従来のセキュリティ対策を回避するために、信頼されているアプリケーションに依存するようになっています。
正規ソフトウェアの利用に加え、暗号化されたペイロード、環境チェック、モジュール式ローダーといった高度な手法を用いるため、従来のセキュリティ対策では検知が困難です。
このキャンペーンが進化するにつれ、不審なアプリケーション挙動や異常なファイルパッケージングに焦点を当てた、より強固な検知戦略の必要性が浮き彫りになっています。
翻訳元: https://cyberpress.org/renengine-loader-evades-security/