Prima di procedere
Esperti di cybersicurezza hanno lanciato l'allarme riguardo a un nuovo virus, denominato RenEngine loader, che avrebbe già compromesso oltre 400.000 computer con sistema operativo Windows in tutto il mondo. La modalità di diffusione di questo malware è particolarmente insidiosa: avviene tramite copie pirata di videogiochi per PC, attirando così un vasto pubblico ignaro dei rischi.
La scoperta è stata fatta dai ricercatori della società Cyderes, che hanno identificato il virus all'interno di installazioni non autorizzate di titoli molto popolari come le serie Far Cry, Need for Speed, FIFA e Assassin’s Creed. Il RenEngine loader si insinua nel programma di installazione legittimo di Ren'Py, un motore grafico utilizzato per la creazione di visual novel, sfruttandone le vulnerabilità per celare la propria presenza.
Il virus è attivo almeno da aprile 2023 e, secondo le analisi, ha ricevuto un importante aggiornamento in ottobre, con l'aggiunta di un modulo di telemetria e un sistema di comunicazione con un server remoto a ogni avvio del sistema. Proprio attraverso questo server, i ricercatori sono riusciti a stimare l'entità dell'infezione, contando oltre 400.000 macchine compromesse fino ad oggi.
Si stima che il malware colpisca tra i 4.000 e i 10.000 nuovi utenti ogni giorno, con una maggiore concentrazione di vittime in paesi come l'India, gli Stati Uniti, il Brasile e la Russia. Gli esperti hanno anche individuato il sito web utilizzato per la distribuzione dei giochi infetti, già noto in passato per essere coinvolto in altre campagne di diffusione di software dannoso. Questo sottolinea l'importanza di scaricare software solo da fonti ufficiali e verificate.
Una volta attivo, il RenEngine loader tenta di installare un programma per il furto di dati chiamato ARC, progettato per raccogliere informazioni sensibili come password salvate nei browser, cookie, dati relativi a wallet di criptovalute, dati di auto-compilazione, informazioni di sistema e contenuti degli appunti. Inoltre, il loader può installare altri payload malevoli, tra cui Rhadamanthys, Async RAT e Xworm, utilizzati per il furto di dati e il controllo remoto del computer.
È importante sottolineare che, al momento, solo pochi antivirus come Avast, AVG e Cynet sono in grado di rilevare il RenEngine loader nelle prime fasi dell'infezione. Per questo motivo, in caso di sospetto, è fondamentale eseguire una scansione approfondita del sistema con più strumenti di sicurezza e, se necessario, ripristinare Windows a una configurazione precedente o reinstallare completamente il sistema operativo. La prevenzione, attraverso l'utilizzo di software legale e aggiornato, rimane la miglior difesa contro queste minacce.
