Der RenEngine-Loader hat sich über illegale Kopien von Spielen verbreitet und 400 000 Computer infiziert

Cyberbedrohungen: Der Virus-Loader RenEngine hat über 400 000 PCs bombardiert

Sicherheitsexperten haben ein neues Schadsoftware-Paket – den RenEngine Loader, das laut Schätzungen mehr als vierhunderttausend Windows-PCs weltweit infiziert hat. Der Virus verbreitet sich zusammen mit Piratkopien beliebter PC-Spiele.

Wie entdeckt und wie verbreitet
- Forscher von Cyderes fanden die Bedrohung in illegalen Distributionen solcher Serien wie *Far Cry*, *Need for Speed*, *FIFA* und *Assassin’s Creed*.
- Die Schadsoftware wird in den „richtigen“ Installer der Spiele Ren’Py eingebettet, wodurch sie ihren Namen *RenEngine Loader* erhielt.
- Sie existiert mindestens seit April des letzten Jahres und bleibt aktiv. Im Oktober wurde ein großes Update durchgeführt: ein Telemetrie-Modul wurde hinzugefügt, das bei jedem Start eine feste Adresse kontaktiert.

Ausmaß der Infektion
- Laut den Forschern wurden bereits über 400 000 Maschinen infiziert.
- Täglich registriert die Schadsoftware zwischen 4 000 und 10 000 neue Opfer.
- Die höchste Konzentration liegt in Indien, den USA, Brasilien und Russland.
- Infizierte Spiele werden von einer einzigen Website heruntergeladen, die zuvor schon in anderen Cyberkampagnen verwendet wurde.

Was der RenEngine Loader tut
1. Installiert das Datenklau-Programm ARC: sammelt gespeicherte Browser-Passwörter, Cookies, Kryptowährungs-Wallet-Daten und Autovervollständigungen, Systeminformationen und den Inhalt der Zwischenablage.
2. Durch den Loader werden zusätzliche Payloads ausgerollt: Rhadamanthys, Async RAT und Xworm – alle sind für Datendiebstahl und Fernsteuerung von PCs bestimmt.

Schutz und Reaktion der Antiviren
- In frühen Phasen erkennt nur Avast, AVG und Cynet den RenEngine Loader.
- Bei Verdacht auf eine Infektion empfiehlt es sich in anderen Fällen, die Windows-Wiederherstellungstools zu nutzen oder das System vollständig neu zu installieren.

Fazit: Der Virus-Loader RenEngine infiziert weiterhin aktiv PCs weltweit über Piratenspiele, sammelt persönliche Daten und gewährt den Angreifern Fernzugriff. Nutzer sollten ihre Antivirenprogramme auf die neuesten Versionen aktualisieren und das Herunterladen von Spielen aus zweifelhaften Quellen vermeiden.