Mã độc RenEngine: Nguy hiểm đánh cắp dữ liệu nghiêm trọng

Việc phân phối mã độc thông qua các trò chơi lậu và ứng dụng crack tiếp tục là một chiến lược hiệu quả cao cho tội phạm mạng. Bằng cách khai thác mong muốn truy cập miễn phí vào nội dung cao cấp, những kẻ tấn công dễ dàng bỏ qua sự nghi ngờ ban đầu của người dùng và phát tán các mối đe dọa phức tạp trực tiếp đến thiết bị cá nhân. Chiến dịch mới được xác định minh họa xu hướng dai dẳng này, sử dụng một loader tinh vi ẩn trong các trình khởi chạy trò chơi đã sửa đổi để thực hiện quy trình lây nhiễm đa giai đoạn, dẫn đến đánh cắp dữ liệu nhạy cảm mà nạn nhân không hề hay biết.

RenEngine: Chiến Dịch Mã Độc Tinh Vi Dựa Trên Ren'Py

Mối đe dọa mới nổi này khai thác cấu trúc của công cụ Ren'Py Visual Novel Engine, khiến các tệp độc hại xuất hiện như các thành phần hợp pháp của trò chơi. Nạn nhân tải xuống các gói đã bị thỏa hiệp thường được chuyển hướng qua nhiều trang web trước khi đến dịch vụ lưu trữ tệp cuối cùng. Khi người dùng thực thi tệp đã tải xuống, mã độc bắt đầu hoạt động dưới dạng màn hình tải tiêu chuẩn, che giấu hiệu quả hoạt động độc hại đang diễn ra ở nền.

Các nhà phân tích của Securelist đã xác định mã độc này là RenEngine, một họ loader riêng biệt đã lưu hành từ tháng 3 năm 2025. Phân tích chi tiết về RenEngine cho thấy sự phát triển của chiến dịch này.

Sự Phát Triển Của Công Cụ Tấn Công

Mặc dù các phiên bản trước chủ yếu được sử dụng để phân phối Lumma stealer, các sự cố gần đây cho thấy những kẻ tấn công đã cập nhật bộ công cụ của họ để phát tán ACR Stealer. Sự tiến hóa này thể hiện khả năng thích ứng của các tác nhân đe dọa, những người cũng đã mở rộng mục tiêu sang người dùng tìm kiếm phần mềm đồ họa lậu và các công cụ năng suất khác.

Các stealer này được thiết kế để trích xuất mật khẩu, ví tiền điện tử và cookie phiên từ máy của nạn nhân. Tác động của chiến dịch này rất đáng kể, với các sự cố đang hoạt động lan rộng.

Việc sử dụng một loader mô-đun cho phép kẻ tấn công tùy chỉnh chuỗi lây nhiễm, gây khó khăn hơn cho các giải pháp an ninh tiêu chuẩn trong việc phát hiện và chặn sự xâm nhập mạng ban đầu trước khi thiệt hại xảy ra.

Kỹ Thuật Khai Thác Và Né Tránh Phát Hiện của RenEngine

Sự tinh vi về mặt kỹ thuật của RenEngine nằm ở khả năng tránh bị phát hiện trong giai đoạn thực thi ban đầu. Cuộc tấn công bắt đầu bằng các script Python mô phỏng quá trình tải trò chơi trong khi đồng thời thực hiện kiểm tra môi trường quan trọng.

Các script này sử dụng một hàm cụ thể gọi là is_sandboxed để xác định xem mã có đang được các nhà nghiên cứu bảo mật phân tích hay không. Hàm này kiểm tra các dấu hiệu của môi trường ảo hóa hoặc công cụ phân tích.

Cơ Chế Giải Mã Payload Đa Giai Đoạn

Nếu hệ thống được coi là an toàn, mã độc sẽ tiếp tục sử dụng hàm xor_decrypt_file để giải nén giai đoạn tiếp theo của payload từ một kho lưu trữ được mã hóa. Bước này đảm bảo rằng các thành phần độc hại chính chỉ được giải phóng trong môi trường không được giám sát, giảm thiểu rủi ro bảo mật bị phát hiện sớm.

# Ví dụ minh họa về logic kiểm tra môi trường và giải mã (không phải mã thực tế)import osdef is_sandboxed(): # Kiểm tra các dấu hiệu môi trường ảo hóa hoặc công cụ phân tích if os.path.exists("C:\Program Files\VMware\VMware Tools\vmtoolsd.exe"): return True # Thêm các kiểm tra khác... return Falsedef xor_decrypt_file(encrypted_file_path, key): with open(encrypted_file_path, 'rb') as f_in: encrypted_data = f_in.read() decrypted_data = bytearray() for i, byte in enumerate(encrypted_data): decrypted_data.append(byte ^ key[i % len(key)]) return decrypted_dataif not is_sandboxed(): # Tiến hành giải mã payload # decrypted_payload = xor_decrypt_file("encrypted_stage2.bin", b"your_secret_key") passelse: # Kết thúc hoạt động hoặc chuyển sang chế độ ngủ đông exit()

DLL Hijacking: Kỹ Thuật Tiêm Mã Của HijackLoader

Sau khi giải mã ban đầu, mã độc sử dụng một kỹ thuật được gọi là DLL hijacking để tải mô-đun HijackLoader. Bằng cách ghi đè bộ nhớ của một thư viện hệ thống hợp pháp, cụ thể là dbghelp.dll, những kẻ tấn công có thể tiêm mã độc vào một tiến trình đáng tin cậy.

Phương pháp này cho phép loader giải mã và khởi chạy payload cuối cùng, chẳng hạn như Lumma hoặc ACR Stealer, trong không gian bộ nhớ của một tiến trình hệ thống như explorer.exe. Việc tiêm mã liền mạch này đảm bảo rằng mã độc có thể hoạt động liên tục trên thiết bị bị nhiễm, thu thập dữ liệu người dùng cực kỳ nhạy cảm trong khi vẫn ẩn mình.

Mục Tiêu Đánh Cắp Dữ Liệu

Các stealer như Lumma và ACR Stealer là công cụ chính trong chiến dịch này. Chúng được thiết kế để:

• Trích xuất mật khẩu từ các trình duyệt và ứng dụng.
• Đánh cắp thông tin ví tiền điện tử.
• Thu thập cookie phiên, cho phép kẻ tấn công truy cập vào các tài khoản trực tuyến mà không cần mật khẩu.

Sự tinh vi của mã độc RenEngine và các stealer liên quan nhấn mạnh tầm quan trọng của việc cảnh giác cao độ và tuân thủ các thực hành bảo mật tốt nhất. Việc tránh tải xuống và thực thi phần mềm từ các nguồn không đáng tin cậy là biện pháp phòng ngừa cơ bản để bảo vệ khỏi các mối đe dọa xâm nhập mạng như vậy.