編者按:在持續對抗惡意軟體的戰鬥中,RenEngine 的擴散範圍凸顯出攻擊者如何利用可信軟體渠道來擴大受害者群。今日來自卡巴斯基威脅研究的簡報指出,一個多階段感染過程已從遊戲範疇擴展到廣泛使用的破解生產力工具。這些發現強調了驗證軟體來源的重要性,以及在個人和企業環境中保持更新防禦措施的必要性。隨著網路威脅日益與合法工作流程融合,讀者應審查安全實踐,保持警覺非官方安裝程式,並思考威脅行為者如何機會性地適應新的散布方式。本次更新為高層管理、IT 團隊及安全專業人士提供在快速演變的威脅環境中導航的背景資訊。
重點摘要
RenEngine 載入器不僅在破解遊戲網站散布,還透過數十個盜版軟體網站傳播。
最終載荷包括 Lumma、ACR Stealer 和 Vidar,並在不同感染鏈中出現。
散布模式具有機會性且區域性,而非針對性攻擊。
該攻擊活動利用基於 Ren’Py 的遊戲安裝程式,配合假載入畫面來部署惡意軟體。
為何此事重要
從遊戲擴展到破解生產力軟體,擴大了潛在受害者範圍,也增加了個人與組織的風險。攻擊者採用多階段傳遞、反分析檢查和廣泛散布策略,以規避防禦。組織應強化軟體來源驗證、用戶教育及行為偵測,以識別偽裝成合法軟體的惡意活動。
接下來的觀察重點
留意含有 RenEngine 的新散布網站或軟體包。
監控安全廠商關於 HijackLoader 基礎的多載荷攻擊活動的最新資訊。
追蹤任何與 RenEngine 或相關載入器相關的新載荷家族。
披露聲明:以下內容為公司/公關代表提供的新聞稿,僅供參考。
卡巴斯基辨識出透過盜版遊戲與軟體散布的 RenEngine 載入器
卡巴斯基辨識出透過盜版遊戲與軟體散布的 RenEngine 載入器
2026年2月23日
卡巴斯基威脅研究團隊公布了對近期引起公眾注意的惡意軟體載入器 RenEngine 的分析。早在2025年3月,卡巴斯基就已辨識出 RenEngine 的樣本,當時其解決方案已能保護用戶免受此威脅。
除了近期報導中的破解遊戲外,卡巴斯基研究人員發現攻擊者建立了數十個網站,透過盜版軟體(包括 CorelDRAW 等圖像編輯軟體)散布 RenEngine,將攻擊範圍從遊戲社群擴展到任何尋求未授權軟體的用戶。
卡巴斯基已在俄羅斯、巴西、土耳其、西班牙和德國等國家記錄到相關事件。散布模式顯示為機會性攻擊,而非針對性行動。
卡巴斯基首次辨識到 RenEngine 時,該載入器正傳送 Lumma 竊取工具。目前攻擊活動則以 ACR Stealer 作為最終載荷,Vidar 竊取工具亦在部分感染鏈中出現。
該活動利用基於 Ren’Py 視覺小說引擎的修改版遊戲安裝程式。用戶啟動感染的安裝程式時,會出現假載入畫面,同時惡意腳本在背景執行。這些腳本具備沙箱檢測能力,並解密載荷,啟動多階段感染鏈,利用模組化的惡意軟體傳遞工具 HijackLoader。
“這個威脅已超越盜版遊戲——攻擊者正利用相同技術,透過破解的生產力軟體散布惡意軟體,顯著擴大潛在受害者範圍。”
— 卡巴斯基威脅研究部門首席惡意軟體分析師 Pavel Sinenko
“遊戲檔案格式因引擎和遊戲而異。如果引擎未檢查資源完整性,攻擊者就能嵌入惡意軟體,點擊播放的瞬間即會執行。”
卡巴斯基的解決方案將 RenEngine 辨識為 Trojan.Python.Agent.nb 和 HEUR:Trojan.Python.Agent.gen。HijackLoader 則被辨識為 Trojan.Win32.Penguish 和 Trojan.Win32.DllHijacker。
為了保持安全,卡巴斯基建議:
只從官方來源下載遊戲和軟體。盜版內容仍是最常見的惡意軟體傳播途徑之一。
使用可靠的安全解決方案。卡巴斯基 Premium 透過行為偵測功能,能在惡意軟體偽裝成合法軟體時,仍能識別威脅。
保持作業系統與應用程式更新,以修補已知漏洞。
對“免費”優惠保持懷疑。如果在非官方網站上提供付費遊戲或軟體的免費下載,安全風險可能就是你的代價。
關於卡巴斯基
卡巴斯基是一家全球性的網路安全與數位隱私公司,成立於1997年。至今已保護超過十億台裝置免受新興網路威脅與定向攻擊,憑藉深厚的威脅情報與安全專業,持續轉化為創新解決方案與服務,保護個人、企業、關鍵基礎設施與政府機構。其全面的安全產品組合包括個人數位生活的領先保護方案、企業專用的安全產品與服務,以及對抗複雜且不斷演變的數位威脅的 Cyber Immune 解決方案。我們幫助數百萬個人與近20萬家企業客戶守護最重要的資產。詳情請見 www.kaspersky.com。
本文最初刊登於 Crypto Breaking News,標題為「卡巴斯基警示:透過盜版軟體散布的 RenEngine 載入器」。
