מטעין RenEngine, התפשט דרך עותקים בלתי חוקיים של משחקים, נגיף ב־400 000 מחשבים

התקפות סייבר: וירוס‑לודר RenEngine פצץ מעל 400 000 מחשבים

מומחי אבטחת הסייבר זיהו חבילה חדירה חדשה – לודר RenEngine, שנחשבת לפי הערכות שהדביקה למעלה מארבע מאות אלף מחשבים עם Windows ברחבי העולם. הווירוס מתפשט יחד עם עותקים פיראטיים של משחקים פופולריים עבור PC.

איך זוהה וכיצד מתפשט
- חוקרי Cyderes מצאו את האיום בדיסטריביות בלתי חוקיות של סדרות כמו *Far Cry*, *Need for Speed*, *FIFA* ו-*Assassin’s Creed*.

- החומר הרעוני מוטמע במתקין “נכון” של משחקי Ren’Py, מה שהוביל לשם *RenEngine loader*.

- הוא קיים לפחות מאז אפריל השנה שעברה ונשאר פעיל. באוקטובר עבר עדכון גדול: נוסף מודול טלמטריה שמבקש כתובת קבועה בכל הפעלה.

יקף ההדבקה
- לפי נתוני החוקרים, מעל 400 000 מכונות כבר נפגעו.

- כל יום החומר הרעוני רושם בין 4 000 ל‑10 000 קורבנות חדשים.

- המיקוד הגדול ביותר – בהודו, ארצות הברית, ברזיל ורוסיה.

- המשחקים המדובקים מורידים מאתר אחד שהיה בשימוש במקורות סייבר אחרים.

מה עושה RenEngine loader
1. מתקין תכנית לגניבת נתונים ARC: אוסף סיסמאות שמוררות בדפדפן, קבצי cookie, נתוני ארנקי מטבעות קריפטו ואוטומציה, פרטי מערכת ותוכן הלוח העתקה.

2. דרך לודר מתפרסמים מטענים נוספים: Rhadamanthys, Async RAT ו‑Xworm – כולם מיועדים לגניבת מידע ולשליטה מרחוק במחשבים.

גנה והתגובה של אנטי-וירוסים
- בשלב מוקדם של ההתקפה רק Avast, AVG ו‑Cynet מזהים את RenEngine loader.

- במקרים אחרים, אם יש חשד לזיהום, מומלץ להשתמש בכלי שחזור Windows או להתקין מחדש את המערכת.

סיכום: וירוס‑לודר RenEngine ממשיך להדביק מחשבים ברחבי העולם דרך משחקים פיראטיים, אוסף נתונים אישיים ומאפשר גישה מרחוק למשתמש. משתמשים צריכים לעדכן אנטי-וירוסים לגרסאות האחרונות ולהימנע מהורדת משחקים ממקורות חשודים.