Пираты бьют тревогу: новый вирус заразил уже 400,000 PC через репаки Far Cry, FIFA и Assassin's Creed
Команда Howler Cell Threat Research Team раскрыла масштабную и продолжающуюся кампанию по краже данных, которая с апреля 2025 года распространяется через пиратские версии популярных игр и уже затронула более 400 тысяч пользователей по всему миру. Злоумышленники используют ранее неизвестное семейство вредоносного ПО RenEngine Loader, встроенное в легитимные лаунчеры на базе движка Ren'Py, а также продвинутый загрузчик HijackLoader и финальный модуль ACR Stealer.
Главная особенность кампании — заражение через «крякнутые» и модифицированные инсталляторы игр, которые позволяют запускать коммерческие проекты бесплатно. Внешне такие сборки работают как обычные пиратские релизы, однако параллельно с ними на компьютер незаметно устанавливается вредоносный код. Среди скомпрометированных тайтлов фигурируют Far Cry, Need for Speed, FIFA и Assassin's Creed, распространяемые через популярные сайты с репаками и модами.
По оценке исследователей, телеметрия, встроенная в RenEngine Loader, фиксирует в среднем порядка 5000 новых заражений в день, а общее число затронутых устройств превышает 400 000. Больше всего жертв зафиксировано в Индии, США, Бразилии и России, но атака носит глобальный характер. Кампания продолжает активно работать и в начале 2026 года, демонстрируя стабильный рост числа заражений.
Атака построена по многоступенчатой схеме. На первом этапе жертва вручную скачивает пиратский установщик или мод и запускает «лаунчер» на Ren'Py, внутри которого спрятан RenEngine Loader. Он выполняет проверку окружения (в том числе RAM, объём диска, количество ядер CPU, наличие признаков виртуальной машины и песочницы), декодирует зашифрованную конфигурацию и расшифровывает следующий этап — модифицированный HijackLoader.
HijackLoader в этой
