カスペルスキーが海賊版ソフトウェアを通じて拡散されるRenEngineローダーを検出
編集者の注釈:マルウェアとの戦いが続く中、RenEngineの拡散範囲は、攻撃者が信頼されるソフトウェアチャネルを悪用して被害者層を拡大していることを示しています。今日のカスペルスキー脅威研究によるブリーフィングでは、ゲームを超えて広く使用されているクラック済みの生産性ツールにまで及ぶ多段階感染について解説しています。これらの調査結果は、ソフトウェアの出所を確認し、個人および企業環境で最新の防御策を維持する重要性を強調しています。サイバー脅威が正当な業務フローとますます融合する中、読者はセキュリティ対策を見直し、非公式インストーラーに注意を払い、脅威アクターが新たな配布手法に適応している状況を理解する必要があります。このアップデートは、経営者、ITチーム、セキュリティ専門家が急速に変化する脅威環境を乗り越えるための背景情報を提供します。
重要ポイント
RenEngineローダーは、クラックされたゲームだけでなく、数十の海賊版ソフトウェアサイトを通じて配布されている。
最終ペイロードには、Lumma、ACR Stealer、Vidarなどが含まれ、さまざまな感染チェーンで展開されている。
配布パターンは、ターゲット志向ではなく、機会主義的かつ地域的なものである。
このキャンペーンは、Ren’Pyベースのゲームインストーラーに偽のローディング画面を表示し、マルウェアを展開する。
なぜこれが重要か
ゲームからクラック済みの生産性ソフトウェアへの拡大は、潜在的な被害者層を拡大し、個人や組織のリスクを高める。攻撃者は、多段階の配信、反解析チェック、広範な配布を駆使して防御を回避している。組織は、ソフトウェアの出所確認、ユーザー教育、行動検知を強化し、正規のソフトウェアに偽装した悪意のある活動を特定すべきである。
今後の注視ポイント
クラックされたソフトウェアを通じてRenEngineを搭載した新たな配布サイトやバンドルの出現に注意。
HijackLoaderを利用した複数のペイロードを対象としたキャンペーンに関するセキュリティベンダーの最新情報を監視。
RenEngineや関連ローダーに関連する新しいペイロードファミリーの動向を追跡。
開示:以下の内容は、企業またはPR担当者から提供されたプレスリリースです。情報提供を目的としています。
カスペルスキー、海賊版ゲームやソフトウェアを通じて配布されるRenEngineローダーを特定
2026年2月23日
カスペルスキー脅威研究は、最近注目を集めているマルウェアローダー「RenEngine」の分析結果を公開しました。カスペルスキーは2025年3月頃からRenEngineのサンプルを特定しており、その時点ですでにユーザーを保護していました。
最近の報告で強調されたクラック済みゲームを超え、カスペルスキーの研究者は、攻撃者がCorelDRAWなどのグラフィックエディタを含む海賊版ソフトウェアを通じてRenEngineを配布する数十のウェブサイトを作成していることを発見しました。これにより、攻撃の範囲はゲームコミュニティだけでなく、無許可ソフトウェアを求めるあらゆるユーザーに拡大しています。
カスペルスキーは、ロシア、ブラジル、トルコ、スペイン、ドイツなど複数の国で事例を記録しています。配布パターンは、ターゲットを絞ったものではなく、機会主義的な攻撃を示しています。
最初にRenEngineを特定した際、ローダーはLummaステーラーを配信していました。現在の攻撃では、最終ペイロードとしてACR Stealerが配布され、Vidarステーラーも一部の感染チェーンで観測されています。
このキャンペーンは、Ren’Pyビジュアルノベルエンジンを基にした改変版ゲームを利用しています。感染したインストーラーを起動すると、偽のローディング画面が表示され、背景で悪意のあるスクリプトが実行されます。これらのスクリプトにはサンドボックス検出機能が含まれ、HijackLoaderと呼ばれるモジュール式のマルウェア配信ツールを用いて、多段階の感染チェーンを開始するペイロードを復号します。
「この脅威は、海賊版ゲームだけにとどまらず、クラックされた生産性ソフトウェアを通じてマルウェアを配布するために同じ手法が使われており、潜在的な被害者層を大きく広げています。」
— カスペルスキー脅威研究のリードマルウェアアナリスト、パベル・シネンコ
「ゲームのアーカイブ形式はエンジンやタイトルによって異なります。エンジンがリソースの整合性をチェックしない場合、攻撃者はマルウェアを埋め込み、クリックと同時に実行させることが可能です。」
カスペルスキーのソリューションは、RenEngineをTrojan.Python.Agent.nbおよびHEUR:Trojan.Python.Agent.genとして検出します。HijackLoaderはTrojan.Win32.PenguishおよびTrojan.Win32.DllHijackerとして検出されます。
保護のためにカスペルスキーは次のことを推奨します。
公式のソースからのみゲームやソフトウェアをダウンロードする。海賊版コンテンツは依然として最も一般的なマルウェア配布手段の一つです。
信頼できるセキュリティソリューションを使用する。カスペルスキー プレミアムは、振る舞い検知機能により、正規のソフトウェアに偽装されたマルウェアも検出します。
OSやアプリケーションを最新の状態に保ち、既知の脆弱性を修正する。
「無料」オファーには注意を払う。非公式サイトで有料ゲームやソフトウェアが無料でダウンロード可能な場合、その代償はセキュリティです。
カスペルスキーについて
カスペルスキーは、1997年に設立されたグローバルなサイバーセキュリティおよびデジタルプライバシー企業です。これまでに10億以上のデバイスを新たなサイバー脅威や標的型攻撃から保護し続けており、その深い脅威インテリジェンスとセキュリティ専門知識は、個人、企業、重要インフラ、政府を守るための革新的なソリューションやサービスへと進化しています。同社の包括的なセキュリティポートフォリオには、個人向けのデジタルライフ保護、企業向けの専門的なセキュリティ製品・サービス、そして高度で進化するデジタル脅威に対抗するサイバー免疫ソリューションが含まれます。私たちは、何よりも大切なものを守るために、何百万人もの個人と約20万の法人顧客を支援しています。詳細はwww.kaspersky.co.jpをご覧ください。
この内容は、Crypto Breaking Newsのプレスリリースとして最初に公開されたものであり、暗号通貨、ビットコイン、ブロックチェーンの最新情報を提供しています。