Zdarma, ale za cenu hesel
Stažení cracknuté hry je pro mnohé lákavé. Populární titul zdarma, instalace proběhne hladce, hra funguje, takže uživatel nemá žádný důvod k podezření. Jenže právě v tu chvíli se na pozadí tiše spouští malware, který si bere přesně to, co chce: uložená hesla z prohlížeče, cookies, přístupy ke kryptopeněženkám, data z formulářů a obsah schránky.¨
Výzkumný tým Howler Cell ze společnosti Cyderes tuto hrozbu pojmenoval RenEngine Loader. Kampaň je aktivní přinejmenším od dubna 2025 a za tu dobu nakazila přes 400 000 zařízení po celém světě, přičemž každý den přibývá odhadem dalších 5 000 obětí.
Zdroj: cyderes
Jak infekce probíhá
Útočníci zneužívají legitimní open-source engine Ren'Py. Právě jeho spouštěč je využit jako obálka pro škodlivý kód. Postup je pak záludně jednoduchý. Uživatel si stáhne zazipovaný soubor s cracknutou hrou z jednoho z pirátských webů. Po rozbalení najde standardní strukturu souborů a spustí soubor Instaler.exe, který vypadá jako běžný launcher. Tento spouštěč ale při rozbalení herního archivu tajně spouští i škodlivý Python skript, který odstartuje celý infekční řetězec.
Samotný Ren'Py žádný problém není. Jde o poctivě napsaný legitimní nástroj. Útočníci ho ale zneužívají proto, že antiviry jeho procesy zpravidla nekontrolují tak pečlivě jako neznámé spustitelné soubory.
Zdroj: Cyderes
Co malware dělá uvnitř počítače
Po spuštění RenEngine Loader nejprve zkontroluje, zda se nespouští v sandboxu nebo virtuálním prostředí pro analýzu. Pokud detekuje bezpečnostní prostředí, chová se klidně. Na reálném počítači ale pokračuje dál a načítá druhou vrstvu, kterou je loader nazvaný HijackLoader.
Ten využívá pokročilé techniky obcházení bezpečnostního softwaru, jako jsou process hollowing, DLL side-loading nebo takzvaná Heaven's Gate technika. Výsledkem je, že škodlivý kód běží maskovaný pod legitimními procesy TEN Windows.
Konečným cílem je dostat do počítače ACR stealer, který z něj odsává uložená hesla z prohlížečů, session cookies, přístupy ke kryptopeněženkám, data z formulářů i obsah schránky. V jiných variantách téže kampaně se objevily také Rhadamanthys stealer, Async RAT nebo backdoor XWorm, který útočníkovi umožní plné vzdálené ovládání napadeného stroje.
Mohlo by vás zajímat
Nebezpečný světový fotbal: FIFA, práce snů i stream zdarma. V souvislosti s MS 2026 si dejte pozor
Bezpečnost
Proč to antiviry nezachytí
Záludnost celé kampaně spočívá mimo jiné v tom, že ji většina antivirových řešení v první fázi vůbec nedetekuje. Podle analýzy pomocí služby VirusTotal ji v době výzkumu zachytily prakticky jen Avast, AVG a Cynet. Ostatní bezpečnostní nástroje první fázi infekce přehlíží, protože spouštěč vypadá jako legitimní aplikace.
Výzkumníci konkrétně identifikovali web dodi-repacks[.]site jako jeden z distributorů nakažených souborů, přičemž tato doména byla dříve spojována i s jinými malwarovými kampaněmi. Stránky tohoto typu nabízejí ke stažení hry zabalené jako „pre-activated“ nebo „cracked“ verze, které nevyžadují zakoupení licence.
Mohlo by vás zajímat
USB kabel, který vás může okrást: Zákeřná novinka stojí jen 1 650 Kč a hackeři jsou z ní nadšení
Bezpečnost
Co dělat, pokud máte podezření na nákazu
Pokud jste v poslední době stáhli cracknutou hru a máte podezření na infekci, existují dvě možnosti. Mírnější variantou je prohledat systém specializovanými nástroji pro odstranění malwaru. **Jistotou je přeinstalace operačního systému**, případně využití funkce Obnovení systému (System Restore) ve Windows k návratu do dřívějšího stavu, před instalací podezřelého souboru.
Každopádně odborníci doporučují:
- Nestahujte instalátory her ani jiného softwaru z neoficiálních zdrojů. Žádná cracknutá hra nestojí za ztrátu přístupu k bankovnímu účtu nebo kryptopeněžence.
- Používejte aktualizovaný antivirový software s ochranou v reálném čase. Pravidelně aktualizujte TEN Windows, zejména bezpečnostní záplaty.
- Pamatujte: „bezplatný“ software z pochybných zdrojů nebývá zadarmo. Cena se jen platí jinak.
Zdroj: Cyderes, Malwarebytes
7 foto
