研究申报指出,该进击活动自2025年4月持续至今且愈演愈烈,天天新增数千台受感染设备。
此次进击的核心是名为RenEngine Loader的恶意软件。黑客将恶意代码隐蔽于仿冒Ren'Py引擎启动器的文件中(该引擎常用于制造视觉小说),这种假装使病毒能成功规避主动防护体系的检测。当用户在计算机上运行法度榜样后,恶意软件起首会对运行情况进行周全检测,以确认自身未处于虚拟机或杀毒软件的沙箱情况中。
经由过程情况检测后,该加载器会解密并激活名为HijackLoader的下一阶段进击组件。该对象采取过程调换、DLL旁加载等高等隐蔽技巧,静静在体系中植入恶意载荷。当进步击活动重要安排的是ACR信息窃取法度榜样,可窃取浏览器保存的暗码、Cookie文件、银行卡信息及加密泉币钱包数据等敏感信息,全部被盗数据将发送至进击者控制的长途办事器。
遥测数据分析显示,全球已有跨越40万用户受到影响,天天约有5000台新设备连接至僵尸收集控制办事器。进击范围覆盖多国地区,印度、美国、巴西和俄罗斯的受害用户数量最为凸起。该威逼重要经由过程盗版资本网站传播,进击者在供给破解版游戏或修改器的下载链接中植入恶意法度榜样。研究人员指出,因为采取模块化构造和合法Ren'Py引擎组件,多半杀毒软件今朝难以辨认此感染链。专家建议玩家避免从弗成信来源下载文件,因为即使看似正常的安装法度榜样也可能静静植入间谍软件。
发表评论 取消回复