カスペルスキーが海賊版ソフトウェアを通じて拡散されるRenEngineローダーを検出

編集者の注釈：マルウェアとの戦いは続いており、RenEngineの拡散範囲は、攻撃者が信頼されるソフトウェアチャネルを悪用して被害者層を拡大していることを示しています。今日のカスペルスキー脅威研究によるブリーフィングでは、ゲームを超えて広く使われているクラック済みの生産性ツールにまで及ぶ多段階感染について解説しています。これらの調査結果は、ソフトウェアの出所を確認し、個人および企業環境で最新の防御策を維持する重要性を強調しています。サイバー脅威が正当な業務フローとますます融合する中、読者はセキュリティ対策を見直し、非公式インストーラーに注意を払い、脅威アクターが新しい配布手法に適応していることを意識すべきです。この情報は、経営者、ITチーム、セキュリティ専門家が急速に変化する脅威環境を理解し対応するための背景情報を提供します。

重要ポイント

RenEngineローダーは、クラックされたゲームだけでなく、数十の海賊版ソフトウェアサイトを通じて配布されている。

最終ペイロードにはLumma、ACR Stealer、Vidarが含まれ、さまざまな感染チェーンで展開される。

配布パターンは、ターゲット志向ではなく、機会主義的かつ地域的な傾向がある。

このキャンペーンは、Ren’Pyベースのゲームインストーラーに偽のローディング画面を仕込み、マルウェアを展開している。

なぜこれが重要か

ゲームからクラック済みの生産性ソフトウェアへの拡大は、潜在的な被害者層を広げ、個人や組織のリスクを高めている。攻撃者は、多段階の配信、反解析チェック、広範な配布を駆使して防御を回避している。組織は、ソフトウェアの出所確認、ユーザー教育、行動検知を強化し、正規のソフトウェアに偽装した悪意のある活動を特定すべきである。

今後の注目点

クラックされたソフトウェアを通じてRenEngineを配布する新しいサイトやバンドルに注意。

HijackLoaderを利用した複数のペイロードを対象としたキャンペーンのセキュリティベンダーからの最新情報を監視。

RenEngineや関連ローダーに関連する新しいペイロードファミリーの動向を追う。

開示：以下の内容は、企業またはPR担当者によるプレスリリースです。情報提供を目的としています。

カスペルスキー、海賊版ゲームやソフトウェアを通じて配布されるRenEngineローダーを特定

2026年2月23日

カスペルスキー脅威研究は、最近注目を集めているマルウェアローダー「RenEngine」の分析結果を公開しました。カスペルスキーは2025年3月頃からRenEngineのサンプルを特定しており、その時点ですでにユーザーを保護していました。

最近の報告で強調されたクラック済みゲームを超え、カスペルスキーの研究者は、攻撃者がCorelDRAWなどのグラフィックエディタを含む海賊版ソフトウェアを配布する数十のウェブサイトを作成していることを発見しました。これにより、攻撃の範囲はゲームコミュニティだけでなく、無許可ソフトウェアを求める誰もが対象となっています。

カスペルスキーは、ロシア、ブラジル、トルコ、スペイン、ドイツなど複数の国で事例を記録しています。配布パターンは、ターゲットを絞ったものではなく、機会主義的な攻撃を示しています。

最初にRenEngineを特定した際、ローダーはLummaステーラーを配信していました。現在の攻撃では、最終ペイロードとしてACR Stealerが配布されており、一部の感染チェーンではVidarステーラーも観測されています。

このキャンペーンは、Ren’Pyビジュアルノベルエンジンを改変したゲームのインストーラーを利用しています。感染したインストーラーを起動すると、偽のローディング画面が表示され、背景で悪意のあるスクリプトが実行されます。これらのスクリプトにはサンドボックス検出機能が含まれ、HijackLoaderというモジュール型マルウェア配信ツールを用いて多段階感染を開始するペイロードを復号します。

「この脅威は海賊版ゲームだけにとどまらず、攻撃者はクラックされた生産性ソフトウェアを通じてマルウェアを配布するために同じ手法を使用しており、潜在的な被害者層を大きく広げています。」

— カスペルスキー脅威研究のリードマルウェアアナリスト、パベル・シネンコ

「ゲームのアーカイブ形式はエンジンやタイトルによって異なります。エンジンがリソースの整合性をチェックしない場合、攻撃者はマルウェアを埋め込み、クリックと同時に実行させることが可能です。」

カスペルスキーのソリューションは、RenEngineをTrojan.Python.Agent.nbおよびHEUR:Trojan.Python.Agent.genとして検出します。HijackLoaderはTrojan.Win32.PenguishおよびTrojan.Win32.DllHijackerとして検出されます。

保護のためにカスペルスキーは次のことを推奨します。

公式のソースからのみゲームやソフトウェアをダウンロードする。海賊版コンテンツは依然として最も一般的なマルウェア配布手段の一つです。

信頼できるセキュリティソリューションを使用する。カスペルスキー プレミアムは、振る舞い検知機能により、正規のソフトウェアに偽装されたマルウェアも検出します。

OSやアプリケーションを最新の状態に保ち、既知の脆弱性を修正する。

「無料」オファーには注意する。非公式サイトで有料ゲームやソフトウェアが無料でダウンロード可能な場合、その代償はセキュリティです。

カスペルスキーについて

カスペルスキーは、1997年に設立されたグローバルなサイバーセキュリティおよびデジタルプライバシー企業です。これまでに10億以上のデバイスを新たなサイバー脅威や標的型攻撃から保護しており、その深い脅威インテリジェンスとセキュリティの専門知識は、個人、企業、重要インフラ、政府を守るための革新的なソリューションやサービスへと進化し続けています。同社の包括的なセキュリティポートフォリオには、個人向けのデジタルライフ保護、企業向けの専門的なセキュリティ製品とサービス、そして高度で進化するデジタル脅威に対抗するCyber Immuneソリューションが含まれます。私たちは、何よりも大切なものを守るために、何百万人もの個人と約20万の法人顧客を支援しています。詳細はwww.kaspersky.comをご覧ください。

この内容は、Crypto Breaking Newsのプレスリリースとして最初に公開されたもので、暗号通貨ニュース、ビットコインニュース、ブロックチェーンの最新情報を提供しています。