Pesquisadores da Cyderes identificaram uma campanha em curso que utiliza instaladores de jogos piratas como vetor para um loader chamado RenEngine, que prepara uma cadeia de execução multi‑estágio capaz de exfiltrar credenciais e entregar stealers.
Resumo da descoberta
A campanha, ativa desde pelo menos abril de 2025, entrega um loader chamado RenEngine embutido em repacks e mods de jogos baseados em Ren’Py. Segundo o relatório, a operação já alcançou uma escala estimada em 400.000 vítimas globais, com aproximadamente 5.000 novas detecções por dia e concentrações altas na Índia, Estados Unidos e Brasil.
Vetor e cadeia de execução
O fluxo típico começa com o usuário executando um instalador aparentemente legítimo (Instaler.exe) que funciona como um launcher Ren’Py. O executivo malicioso lê um ficheiro local (.key), decodifica Base64 para JSON e usa o campo password para XOR‑decodificar um arquivo embutido, liberando o estágio seguinte.
- O Ren’Py launcher desempacota conteúdo RPA e executa .rpyc compilados, reduzindo visibilidade para scanners.
- RenEngine desencripta e inicia um segundo loader (HijackLoader em alguns casos), que usa DLL side‑loading e module stomping.
- Payloads finais observados: ACR Stealer (coleta de senhas, cookies e wallets) e, ocasionalmente, Vidar.
Evasões e comportamento anti‑análise
Pesquisadores notaram checagens agressivas de ambiente: detecção de GPUs, nomes de hypervisor e endereços MAC associados a VMs. Se o ambiente parecer sandboxado, o loader sai silenciosamente. Essas medidas elevam a dificuldade de análise e bloqueio por amostragem.
Impacto e alcance
O aspecto crítico é a escala e o vetor social: a confiança em comunidades de pirataria impede uma mitigação baseada em patch. Com a entrega de stealers capazes de coletar credenciais de navegadores e carteiras cripto, as consequências incluem roubo financeiro e comprometimento de contas corporativas quando credenciais forem reutilizadas.
Observações práticas para defesa
- Bloquear e monitorar downloads de repositórios e sites de pirataria em ambientes corporativos;
- Inspecionar artefatos Ren’Py: presença de Instaler.exe junto de archive.rpa e .rpyc é indicador de risco;
- Correlacionar execuções de processos Ren’Py com tráfego de saída para domínios desconhecidos e sinais de exfiltração;
- Aplicar políticas de não reutilização de senhas e MFA em contas críticas para limitar impacto de stealers.
Limitações dos dados disponíveis
O relatório da Cyderes fornece telemetria e indicadores de técnica, porém não detalha a atribuição do grupo por trás da campanha nem nomes operacionais dos operadores. Também não há lista pública completa de domínios C2 ou hashes — equipes de resposta precisarão baselinar com suas próprias telemetrias.
Relevância para o Brasil
Relatos apontam Brasil entre os principais países com ocorrências, o que torna a detecção proativa e o bloqueio de fontes de pirataria prioritários para times de segurança no país.
Fonte: Cyber Security News (relato baseado em análise da Cyderes)