Découverte par les chercheurs en cybersécurité de Cyderes et active depuis au moins avril 2025, une campagne de malware s’appuie sur des versions piratées de jeux avec des titres comme Far Cry, Need for Speed, FIFA ou Assassin’s Creed. Elles sont distribuées via des sites de téléchargement populaires.
Le nuisible est dissimulé dans des installateurs à l’apparence fonctionnelle. Ils permettent de jouer, mais exécutent en silence une charge malveillante en arrière-plan. Plus de 5 000 nouvelles infections par jour et un total qui dépasse 400 000 victimes dans le monde.
Une chaîne d’attaque en deux étapes
L’attaque abuse d’un moteur de jeu légitime, le moteur de jeu Ren’Py, pour exécuter un script malveillant. Les attaquants ont compilé leur code piégé dans un fichier archive .rpa, un format que les outils d’analyse peinent à inspecter.
» En intégrant un chargeur modulaire et axé sur la furtivité à l’intérieur d’un lanceur Ren’Py, les attaquants imitent fidèlement le comportement normal d’une application « , expliquent les experts de Cyderes.
Une fois lancé, ce premier étage, RenEngine Loader, effectue une série de vérifications pour s’assurer qu’il ne s’exécute pas dans un environnement virtualisé (sandbox). Il analyse la RAM, le nombre de cœurs du processeur ou encore le stockage disponible.
Si le système est jugé sûr, il déchiffre et exécute la seconde phase de l’attaque, une nouvelle variante du malware HijackLoader.
Quels sont les outils déployés et les données volées ?
HijackLoader est une plateforme modulaire. Dans la campagne d’attaque, ce sont 38 modules distincts qui sont chargés pour des capacités telles que le contournement des contrôles de compte utilisateur (UAC) et la persistance sur le système. Des techniques d’évasion permettent une dissimulation au sein de processus, notamment du DLL side-loading.
L’objectif final est de déployer un voleur d’informations en tant que charge utile finale, principalement ACR Stealer. Cet infostealer peut récolter des données utilisateur sensibles : mots de passe de navigateur enregistrés, cookies, portefeuilles de cryptomonnaies, informations de remplissage automatique.
Toutes les données dérobées sont ensuite exfiltrées vers un serveur de commande et de contrôle.
La France dans le Top 10 des infections
Les pays les plus touchés sont l’Inde (38 016 victimes), les États-Unis (31 317) et le Brésil (25 220), tandis que la France figure dans le Top 10 et compte pour plus de 14 100 infections.