編者按:在持續對抗惡意軟體的戰鬥中,RenEngine 的擴散範圍凸顯了攻擊者如何利用可信軟體渠道來擴大受害者群體。今日來自卡巴斯基威脅研究的簡報指出,一個多階段感染過程已經超越遊戲範疇,轉向廣泛使用的破解生產力工具。這些發現強調了驗證軟體來源的重要性,以及在個人和企業環境中保持更新防禦措施的必要性。隨著網路威脅日益與合法工作流程融合,讀者應審查安全實踐,保持警覺非官方安裝程式,並思考威脅行為者如何機會性地適應新的散布方式。本次更新為高層管理人員、IT 團隊及安全專業人士提供在快速演變的威脅環境中導航的背景資訊。
重點摘要
RenEngine 載入器不僅在破解遊戲網站散布,還在數十個盜版軟體網站上分發。
最終載荷包括 Lumma、ACR Stealer 和 Vidar,並在不同感染鏈中出現。
散布模式具有機會性和區域性,而非針對性攻擊。
該攻擊活動利用基於 Ren’Py 的遊戲安裝程式,配合假載入畫面來部署惡意軟體。
為何此事重要
從遊戲擴展到破解生產力軟體,擴大了潛在受害者範圍,也增加了個人與組織的風險。攻擊者利用多階段傳遞、反分析檢查和廣泛散布來規避防禦。組織應加強軟體來源驗證、用戶教育及行為偵測,以識別偽裝成合法軟體的惡意活動。
接下來的觀察重點
留意含有 RenEngine 的新散布網站或軟體包。
監控安全廠商關於 HijackLoader 基於多種載荷的攻擊活動的最新資訊。
追蹤任何與 RenEngine 或相關載入器相關的新載荷家族。
披露:以下內容為公司/公關代表提供的新聞稿,僅供參考。
卡巴斯基辨識出透過盜版遊戲與軟體散布的 RenEngine 載入器
卡巴斯基辨識出透過盜版遊戲與軟體散布的 RenEngine 載入器
2026年2月23日
卡巴斯基威脅研究揭示了近期引起公眾關注的惡意軟體載入器 RenEngine 的分析。卡巴斯基早在2025年3月就已識別出 RenEngine 的樣本,當時其解決方案已能保護用戶免受此威脅。
除了近期報導中的破解遊戲外,卡巴斯基研究人員發現攻擊者建立了數十個網站,透過盜版軟體(包括 CorelDRAW 等圖像編輯器)散布 RenEngine,將攻擊範圍從遊戲社群擴展到任何尋求未授權軟體的用戶。
卡巴斯基已在俄羅斯、巴西、土耳其、西班牙和德國等國家記錄到相關事件。散布模式顯示為機會性攻擊,而非針對性行動。
卡巴斯基首次識別到 RenEngine 時,該載入器正傳送 Lumma 竊取工具。目前攻擊活動則以 ACR Stealer 作為最終載荷,Vidar 竊取工具也在部分感染鏈中出現。
該活動利用基於 Ren’Py 視覺小說引擎的修改版遊戲安裝程式。用戶啟動感染的安裝程式時,會出現假載入畫面,同時惡意腳本在背景執行。這些腳本包括沙箱檢測功能,並解密載荷,啟動多階段感染鏈,使用模組化的惡意軟體傳遞工具 HijackLoader。
「這個威脅已超越盜版遊戲——攻擊者正利用相同技術,透過破解的生產力軟體散布惡意軟體,這大大擴展了潛在受害者範圍。」 — 卡巴斯基威脅研究首席惡意軟體分析師 Pavel Sinenko
「遊戲檔案格式因引擎和標題而異。如果引擎未檢查資源完整性,攻擊者就能嵌入在你點擊播放時即執行的惡意軟體。」
卡巴斯基解決方案將 RenEngine 辨識為 Trojan.Python.Agent.nb 和 HEUR:Trojan.Python.Agent.gen。HijackLoader 則被辨識為 Trojan.Win32.Penguish 和 Trojan.Win32.DllHijacker。
為了保持安全,卡巴斯基建議:
僅從官方來源下載遊戲和軟體。盜版內容仍是最常見的惡意軟體傳播方式之一。
使用可靠的安全解決方案。卡巴斯基 Premium 透過行為偵測功能,能在惡意軟體偽裝成合法軟體時,仍能識別威脅。
保持作業系統與應用程式更新,以修補已知漏洞。
對「免費」優惠保持懷疑。如果在非官方網站上提供付費遊戲或軟體的免費下載,安全風險可能就是你的代價。
關於卡巴斯基
卡巴斯基是一家全球性的網路安全與數位隱私公司,成立於1997年。至今已保護超過十億台裝置免受新興網路威脅與定向攻擊,憑藉深厚的威脅情報與安全專業,不斷轉化為創新解決方案與服務,保護個人、企業、關鍵基礎設施與政府機構。其全面的安全產品組合包括個人裝置的數位生活保護、企業專用安全產品與服務,以及對抗複雜且不斷演變的數位威脅的 Cyber Immune 解決方案。我們幫助數百萬個人與近20萬家企業客戶守護最重要的資產。了解更多請訪問 www.kaspersky.com。
本文最初刊登於 Crypto Breaking News,標題為「卡巴斯基警示:透過盜版軟體散布的 RenEngine 載入器」。
