Nguy hiểm: Mã độc đánh cắp thông tin từ game lậu RenEngine

Trong bối cảnh các mối đe dọa không ngừng phát triển, một chiến dịch tấn công mới đã xuất hiện, sử dụng các trình cài đặt game lậu làm kênh phân phối chính cho mã độc đánh cắp thông tin. Điểm đáng chú ý của làn sóng tấn công này là việc mã độc được ẩn giấu tinh vi phía sau một trình khởi chạy game dựa trên Ren’Py. Đây là một phương thức lây nhiễm độc đáo, khai thác sự tin tưởng trong cộng đồng người dùng.

RenEngine: Công Cụ Khởi Đầu Cho Các Cuộc Tấn Công Mạng

Công cụ tải (loader) này, hiện được theo dõi dưới tên RenEngine, được đóng gói cùng với các bản game repack và mod. Các bản game này trông hoàn toàn bình thường và thậm chí hoạt động như mong đợi. Tuy nhiên, chúng âm thầm chuẩn bị cho giai đoạn tiếp theo của chuỗi tấn công mạng.

Chiến dịch này đã hoạt động từ ít nhất tháng 4 năm 2025 và vẫn đang tiếp diễn. Ước tính có khoảng 400,000 nạn nhân trên toàn thế giới đã bị ảnh hưởng.

Dữ liệu từ các nhà nghiên cứu cho thấy khoảng 5,000 lượt nhiễm mới mỗi ngày. Các khu vực có mật độ lây nhiễm cao nhất là Ấn Độ, Hoa Kỳ và Brazil.

Quy mô lây nhiễm này rất đáng quan tâm vì mồi nhử ban đầu dựa vào sự tin cậy xã hội trong các cộng đồng game lậu. Điều này khiến việc ngăn chặn trở nên khó khăn hơn. Phương pháp này không thể chỉ dựa vào việc vá các lỗ hổng phần mềm thông thường.

Cơ Chế Kỹ Thuật của RenEngine và HijackLoader

Các nhà nghiên cứu tại Cyderes đã phát hiện ra mã độc này sau khi nhận thấy logic độc hại được nhúng trong một trình khởi chạy có vẻ hợp pháp dựa trên Ren’Py. Báo cáo của Cyderes cung cấp phân tích chi tiết về chuỗi tấn công này: RenEngine Loader & HijackLoader Attack Chain.

Trong một số trường hợp, họ cũng phân tích một biến thể mới của HijackLoader. Biến thể này mang theo các module chống phân tích nâng cao.

Các module này bao gồm kiểm tra sự hiện diện của GPU, tên hypervisor và địa chỉ MAC liên kết với máy ảo. Những kiểm tra này giúp mã độc né tránh các môi trường phân tích tự động như sandbox.

Sự kết hợp giữa RenEngine và HijackLoader tạo thành một cấu trúc tải kép (dual-loader setup). Cấu trúc này mang lại khả năng linh hoạt cao cho kẻ tấn công, cho phép họ nhanh chóng thay đổi payload.

Điều này giúp duy trì hiệu quả tấn công khi các biện pháp phòng thủ được cập nhật hoặc phát hiện.

Quy Trình Lây Nhiễm Chi Tiết

Một chu trình lây nhiễm điển hình bắt đầu khi người dùng thực thi trình cài đặt game lậu. Tập tin này chứa RenEngine được ngụy trang.

Sau khi được kích hoạt, RenEngine sẽ giải mã và khởi chạy giai đoạn thứ hai của cuộc tấn công.

HijackLoader sau đó được đưa vào hệ thống thông qua các kỹ thuật phức tạp như DLL side-loading và module stomping. Các kỹ thuật này giúp nó ẩn mình và thực thi mã độc trong các tiến trình hợp pháp.

Payload cuối cùng được quan sát trong chuỗi tấn công này là ACR Stealer. Đây là một loại mã độc đánh cắp thông tin chuyên nghiệp.

ACR Stealer được thiết kế để thu thập mật khẩu trình duyệt, cookie, dữ liệu ví tiền điện tử và các chi tiết hệ thống nhạy cảm khác. Tất cả dữ liệu này sau đó sẽ được gửi về cơ sở hạ tầng của kẻ tấn công.

Trong một số chuỗi tấn công khác, các loại mã độc đánh cắp thông tin khác như Vidar cũng đã được phân phối.

Phân Tích Kỹ Thuật RenEngine

Quá trình lây nhiễm bắt đầu trong thư mục game, nơi tập tin Instaler.exe đóng vai trò là một trình khởi chạy Ren’Py hợp pháp. Tuy nhiên, nó bị lạm dụng để thực thi một script đã được biên dịch từ tập tin archive.rpa.

Phiên bản build của Ren’Py này được chỉnh sửa để loại bỏ các tệp .rpy thuần túy, chỉ giữ lại các tệp .rpyc. Việc này làm giảm khả năng bị phát hiện trong quá trình quét bảo mật thông thường.

Tiếp theo, RenEngine sẽ đọc một tệp .key cục bộ. Sau đó, nó thực hiện giải mã Base64 tệp này để chuyển đổi nó thành định dạng JSON.

Giá trị mật khẩu trích xuất từ cấu trúc JSON này được sử dụng để giải mã XOR một kho lưu trữ được nhúng. Kho lưu trữ này chứa tệp thực thi độc hại tiếp theo trong chuỗi.

Một tính năng đáng chú ý khác là khả năng kiểm tra môi trường của RenEngine. Khi các kiểm tra sandbox được kích hoạt, loader sẽ đánh giá môi trường thực thi.

Nếu phát hiện ra rằng nó đang chạy trong một máy ảo, RenEngine sẽ tự động thoát mà không để lại dấu vết đáng ngờ nào. Điều này nhằm né tránh việc bị phân tích bởi các hệ thống bảo mật.

Chỉ Số Thỏa Hiệp (IOCs) và Biện Pháp Phòng Ngừa

Để bảo vệ hệ thống khỏi chiến dịch này và các cuộc tấn công tương tự, cần chú ý đến các chỉ số thỏa hiệp và áp dụng các biện pháp phòng ngừa sau:

• Trình khởi chạy Ren’Py giải nén nội dung RPA bất thường: Cần giám sát các hoạt động giải nén từ các tệp .rpa bởi trình khởi chạy Ren’Py. Mọi hoạt động bất thường hoặc không rõ nguồn gốc đều có thể là dấu hiệu lây nhiễm.
• Giai đoạn dàn dựng (staging) sử dụng Base64/XOR: Theo dõi các tiến trình thực hiện giải mã dữ liệu bằng Base64 và XOR. Đây là kỹ thuật phổ biến để che giấu và giải mã payload.
• Kiểm tra môi trường ảo hóa tích cực: Cảnh giác với các chương trình thực hiện kiểm tra sâu rộng môi trường ảo hóa (như kiểm tra GPU, tên hypervisor, MAC address của máy ảo). Hành vi này thường được sử dụng bởi mã độc để phát hiện và né tránh sandbox.
• DLL Side-loading đáng ngờ: Phát hiện các trường hợp tải thư viện DLL không chính đáng hoặc bất thường vào các tiến trình hợp pháp. Đây là một kỹ thuật lạm dụng để thực thi mã độc.
• Lưu lượng truy cập đánh cắp thông tin đăng nhập: Giám sát lưu lượng mạng bất thường, đặc biệt là các kết nối ra ngoài liên quan đến việc truyền tải thông tin nhạy cảm như mật khẩu, cookie, hoặc dữ liệu ví tiền điện tử từ các điểm cuối. Đây là dấu hiệu rõ ràng của mã độc đánh cắp thông tin đang hoạt động.

Để phòng thủ, các tổ chức và người dùng cần xem các trình cài đặt game lậu và các bản mod là nguy cơ cao và chặn chúng wherever possible.

Việc kết hợp giám sát các chỉ số thỏa hiệp nêu trên sẽ giúp phát hiện sớm các chiến dịch tấn công mạng và giảm thiểu rủi ro.