Kaspersky позначає завантажувач RenEngine, поширюваний через піратське програмне забезпечення

Редакційна примітка: У постійній боротьбі з шкідливим програмним забезпеченням досягнення RenEngine підкреслює, як зловмисники використовують довірені канали поширення програмного забезпечення для розширення своєї жертви. Сьогоднішній огляд від дослідження загроз Касперського висвітлює багатоступеневу інфекцію, яка виходить за межі ігор і поширюється на широко використовувані зламані інструменти для продуктивності. Висновки підкреслюють важливість перевірки джерел програмного забезпечення та підтримки актуальних захистів у особистих і корпоративних середовищах. Оскільки кіберзагрози все більше поєднуються з легітимними робочими процесами, читачам слід переглянути практики безпеки, бути обережними щодо неофіційних інсталяторів і враховувати, як зловмисники адаптуються до нових методів розповсюдження. Це оновлення надає контекст для керівників, ІТ-команд і фахівців з безпеки, які орієнтуються у швидко змінюваному ландшафті загроз.

Ключові моменти

Завантажувач RenEngine поширюється через десятки піратських сайтів із програмним забезпеченням, а не лише через зламані ігри.

Фінальні шкідливі компоненти включають Lumma, ACR Stealer і Vidar у різних ланцюжках інфекцій.

Модель поширення є opportunistic (випадковою, нецільовою) і регіональною, а не цілеспрямованою.

Кампанія використовує інсталятори ігор на базі Ren’Py із фальшивими екранами завантаження для розгортання шкідливого ПЗ.

Чому це важливо

Розширення від ігор до зламаного програмного забезпечення для продуктивності збільшує потенційний пул жертв і підвищує ризики для окремих користувачів і організацій. Зловмисники використовують багатоступеневу доставку, перевірки на аналіз і широке поширення, щоб обійти захисти. Організаціям слід посилити перевірки походження програмного забезпечення, навчання користувачів і поведінкове виявлення для ідентифікації шкідливої активності, яка маскується під легітимне програмне забезпечення.

Що слід стежити далі

Слідкуйте за новими сайтами або пакетами розповсюдження, що містять RenEngine через зламане програмне забезпечення.

Моніторте оновлення від постачальників безпеки щодо кампаній на базі HijackLoader із різними шкідливими компонентами.

Відстежуйте будь-які нові сімейства шкідливого ПЗ, пов’язані з RenEngine або подібними завантажувачами.

Розкриття: Нижче наведено прес-реліз, наданий компанією/PR-репрезентантом. Він публікується з інформаційною метою.

Касперський виявляє завантажувач RenEngine, поширюваний через піратські ігри та програмне забезпечення

Касперський виявляє завантажувач RenEngine, поширюваний через піратські ігри та програмне забезпечення

23 лютого 2026

Дослідження загроз Касперського оприлюднило аналіз RenEngine — шкідливого завантажувача, який нещодавно привернув увагу публіки. Вже у березні 2025 року Касперський ідентифікував зразки RenEngine, і з того часу їхні рішення вже захищають користувачів від цієї загрози.

Крім зламаних ігор, про які повідомлялося раніше, дослідники Касперського виявили, що зловмисники створили десятки сайтів, що поширюють RenEngine через піратське програмне забезпечення, зокрема графічні редактори, такі як CorelDRAW. Це розширює зону атаки за межі ігрової спільноти до будь-кого, хто шукає нелегальне програмне забезпечення.

Касперський зафіксував випадки в Росії, Бразилії, Туреччині, Іспанії та Німеччині, серед інших країн. Модель поширення свідчить про opportunistic-атаки, а не цілеспрямовані операції.

Коли Касперський вперше виявив RenEngine, він доставляв крадія Lumma. Нині атаки поширюють ACR Stealer як фінальний компонент, а також спостерігали Vidar у деяких ланцюжках інфекцій.

Кампанія використовує модифіковані версії ігор на базі рушія Ren’Py із фальшивими екранами завантаження для розгортання шкідливого ПЗ. При запуску інфікованих інсталяторів з’являється фальшивий екран завантаження, тоді як у фоновому режимі виконуються шкідливі скрипти. Скрипти мають можливості виявлення sandbox-оточення і розшифровують payload, що запускає багатоступеневу інфекцію за допомогою HijackLoader — модульного інструменту доставки шкідливого ПЗ.

«Ця загроза виходить за межі піратських ігор — зловмисники використовують ту саму техніку для поширення шкідливого ПЗ через зламане програмне забезпечення для продуктивності, що значно розширює потенційний пул жертв.»

— Павло Сіненко, головний аналітик з шкідливого ПЗ у дослідженні загроз Касперського

«Формати архівів ігор різняться залежно від рушія та назви. Якщо рушій не перевіряє цілісність ресурсів, зловмисники можуть вставляти шкідливий код, який виконається одразу після натискання «Запустити».»

Рішення Касперського виявляють RenEngine як Trojan.Python.Agent.nb і HEUR:Trojan.Python.Agent.gen. HijackLoader — як Trojan.Win32.Penguish і Trojan.Win32.DllHijacker.

Щоб залишатися захищеними, Касперський рекомендує:

Завантажуйте ігри та програмне забезпечення лише з офіційних джерел. Піратський контент залишається одним із найпоширеніших способів доставки шкідливого ПЗ.

Використовуйте надійне антивірусне рішення. Kaspersky Premium захищає від загроз, таких як RenEngine, за допомогою компонента Behavior Detection, який виявляє шкідливу активність навіть у разі маскування під легітимне програмне забезпечення.

Підтримуйте актуальність операційної системи та додатків, щоб закрити відомі вразливості.

Будьте обережні з «безкоштовними» пропозиціями. Якщо платна гра або програма доступна для безкоштовного завантаження на неофіційному сайті, ціна — це, ймовірно, ваша безпека.