Специалисты по кибербезопасности зафиксировали массовое заражение компьютеров троянской программой RenEngine Loader, которая распространяется через взломанные версии популярных игр. По данным компании Cyderes за февраль 2026 года, вредоносное ПО проникло на около 400 000 устройств по всему миру, и темпы роста составляют от 4 000 до 10 000 новых заражений ежедневно с октября 2025 года.
Как работает троян
RenEngine Loader маскируется под игровой движок Ren'Py, который используется для создания визуальных новелл и инди-игр. Из-за этого многие антивирусные решения воспринимают его как легитимный компонент и пропускают без проверки.
После активации троян выполняет следующие действия:
- Кража учётных данных: Перехватывает пароли, данные банковских карт, куки браузеров, токены авторизации в соцсетях и мессенджерах, данные криптокошельков и содержимое буфера обмена.
- Загрузка дополнительного вредоносного ПО: Основная функция это доставка других угроз на заражённый компьютер. Среди вторичных вредоносных нагрузок обнаружены
ACR Stealer,Rhadamanthys,AsyncRAT иXWormстилеры для кражи данных и RAT-трояны для удалённого управления системой. - Скрытое присутствие: Использует техники обфускации, проверки виртуальных сред и легитимные файлы движка для обхода защитных механизмов.
Механизм распространения
Злоумышленники внедряют RenEngine Loader в установщики взломанных игр через сложную цепочку:
- Вредоносный код интегрируется в легитимный лаунчер движка
Ren'Py(обычно файлInstaler.exe). - При запуске лаунчер распаковывает и выполняет скомпилированный Python-скрипт (
script.rpyc) из встроенного архива.rpa. - Скрипт проверяет систему на признаки виртуализации (RAM, ядра CPU, серийные номера BIOS, ключи реестра).
- Если проверка пройдена, расшифровывается и запускается компонент HijackLoader с помощью техники DLL side-loading.
- HijackLoader загружает финальную вредоносную нагрузку ACR Stealer и другие модули.
Заражённые дистрибутивы распространяются через торрент-трекеры и файлообменники. Среди них популярные серии игр: Far Cry, FIFA, Need for Speed и Assassin's Creed. По данным исследователей, основной источник заражённых файлов, сайт dodi-repacks[.]site, который перенаправляет на MediaFire для загрузки вредоносных ZIP-архивов.
География заражений
Наибольшее количество жертв зафиксировано в Индии (38 016 заражений), США (31 317) и Бразилии (25 220). Россия входит в группу стран с высоким уровнем заражений наряду с Египтом, Турцией и Францией.
Специалисты рекомендуют:
- Отказаться от пиратских версий игр. Легальные копии через Steam, Epic Games Store и другие платформы не содержат вредоносного кода.
- Проверить систему антивирусом. Обновить базы и провести полное сканирование дисков. Из популярных антивирусов на ранней стадии RenEngine Loader детектируют только Avast, AVG и Cynet.
- Удалить подозрительные игры. Если игра была скачана с торрента или сомнительного сайта, удалить её вместе со всеми файлами, особенно в каталогах с компонентами Ren'Py.
- Сменить пароли. Если есть подозрение на заражение, немедленно сменить пароли от всех учётных записей, особенно банковских, почтовых и криптокошельков.
- Следить за активностью системы. Необычные сетевые соединения или неизвестные процессы Python/Ren'Py в нестандартных каталогах, признак заражения.
Признаки заражения RenEngine Loader:
- Появление процессов с именами
Instaler.exe,renpy.exe,pythonw.exeилиpython.exeв нестандартных каталогах (не в официальных установках игр). - Файлы с расширением
.rpycи архивы .rpa в подозрительных директориях. - Необычная сетевая активность при отсутствии открытых приложений (соединения с IP
78.40.193.126известный C2-сервер). - Замедление работы браузера, внезапные выходы из аккаунтов.
- Процессы с именами
W8CPbGQI.exe, DLL-файлы:VSDebugScriptAgent170.dll,d3dx9_43.dll.
Эксперты отмечают, что RenEngine Loader продолжает эволюционировать: злоумышленники регулярно обновляют код и методы обфускации, чтобы обходить новые сигнатуры антивирусов. Ситуация требует повышенной бдительности со стороны пользователей и быстрого реагирования со стороны разработчиков защитных решений.
