RenEngine loader 藏身 Far Cry 等遊戲,竊取密碼與錢包
愛玩破解版遊戲的玩家要注意啦!資安研究人員 (CYDERES) 近期揭露了一隻名為 RenEngine loader 的惡意程式,正透過盜版 PC 遊戲大肆散播。據估計全球可能已有超過 40 萬部裝置遭到感染,攻擊活動仍在持續中。該威脅被巧妙包裝在破解遊戲與修改過的安裝程式內,表面上遊戲可正常執行,但背後卻悄悄投放了惡意程式,竊取使用者的敏感資料。
相關新聞 : Notepad++ 更新劫持延燒半年?官方籲手動安裝 v8.9.1 避開惡意重導
盜版 PC 遊戲惡意軟體感染如何擴散?
CYDERES 指出,這次攻擊鏈主要鎖定 Windows 使用者,駭客將 RenEngine loader 藏身於多款熱門系列的破解遊戲或改造安裝檔中,受波及的知名遊戲包含極地戰嚎 (Far Cry)、極速快感 (Need for Speed)、FIFA (現改名為 EA Sports FC) 、刺客教條 (Assassin’s Creed) 等。從遙測資料觀察,受害規模推估已突破 40 萬大關。受害者分佈全球,其中以 美國 (約 3 萬名)、巴西、印度等地最為集中。
小知識:什麼是「遙測 (Telemetry)」?在資安領域中,遙測通常指程式執行後回傳給伺服器的統計或追蹤資料。在本案中,研究人員透過惡意程式內含的追蹤機制,觀察到了其散播廣度與每日約 4,000 至 10,000 次的觸發頻率。
Ren’Py 啟動器被濫用散播:RenEngine loader 的藏身術
RenEngine loader 之所以得名,源於其獨特的偽裝手法。駭客將惡意邏輯嵌入在看似正常的 Ren’Py 啟動器中。Ren’Py 原本是用於製作與執行「視覺小說」類型遊戲的合法引擎,但在這事件中卻被濫用來掩護惡意流程。其運作方式極為隱蔽,流程如下:
1.使用者下載並執行破解遊戲安裝檔。
2.啟動器在解壓遊戲檔案的同時,同步在背景啟動惡意程式的安裝流程。
3.由於遊戲能正常安裝與執行,使用者難以從表面察覺電腦已遭入侵。
ARC 竊取哪些資料?
一旦成功入侵,RenEngine loader 會嘗試投放與執行後續的惡意負載,主要是一種針對 Windows 平台的資訊竊取程式,目標是搜刮受害電腦上的所有敏感個資,ARC 資訊竊取程式鎖定的資料包括:
瀏覽器資料:已儲存的密碼、Cookie、自動填入資訊。
銀行資產:加密貨幣錢包。
系統資訊:作業系統細節、硬體規格。
剪貼簿內容:攔截複製貼上的敏感字串。
可能大家會問為何剪貼簿也有價值?其實剪貼簿常短暫存放一次性驗證碼 (OTP)、加密貨幣錢包地址或密碼。惡意程式透過監控剪貼簿,可在使用者進行交易或登入時,竊取關鍵資訊或替換錢包地址。
下載來源與風險
研究團隊在報告中特別點名了一個提供下載遊戲的網域 (標示為 dodi-repacks[.]site),指出該網站曾被用來承載含有惡意程式的遊戲下載內容。另外該網域過去也曾在其他惡意軟體活動的研究報告中被提及,因此各位要避免下載來路不明的破解遊戲,並保持防毒軟體即時更新,是防範此類威脅的唯一途徑。
如果喜歡這篇文章,並想持續收到更多限時免費、科技新聞、 Apple 資訊,以及 AI 、 WordPress 教學與資源分享,歡迎透過以下方式支持我,讓我更有動力創作:
👍 按讚與追蹤:鎖定我的 Facebook專頁、Instagram、Threads 和 X,就不會錯過最新內容。
☕ 請我喝杯咖啡:如果內容對你有幫助,歡迎到 Ko-fi 小額支持,為我注入創作能量。
你的一個 Like、追蹤或是一杯咖啡的鼓勵,都能激勵我持續分享更多實用文章。由衷感謝大家。😉