概要:新たな脅威RenEngine Loaderの出現
脅威分析チームHowler Cellは、合法的なRen’Pyベースのゲームランチャー内に悪意のあるロジックが埋め込まれたマルウェアファミリー「RenEngine Loader」を発見しました。2025年4月から活動しており、すでに世界中で40万台以上のシステムが侵害されています。特にインド、米国、ブラジルに集中しており、毎日約5,000台の新しいマシンが感染していると報告されています。
この攻撃は、ユーザーが人気ゲーム(例:Far Cry、FIFA、Assassin’s Creed)の海賊版やMODを海賊版ウェブサイトからダウンロードした際に始まります。RenEngine Loaderは、標準の実行可能ファイルを使用する代わりに、Ren’Pyビジュアルノベルエンジンに基づいた正規のゲームランチャー内に悪意のあるロジックを隠蔽しています。
具体的には、マルウェアはRen’Pyアーカイブファイル(archive.rpa)内に埋め込まれており、ユーザーがゲーム(Instaler.exe)を起動すると、正規のエンジンが悪意のあるコンパイル済みPythonスクリプト(script.rpyc)を意図せず実行します。
多段階実行による検出回避
このマルウェアは、「Living off the Land(環境寄生型)」と呼ばれる手法を利用して、正規のアプリケーションの動作を装い、従来のアンチウイルスソリューションによる検出率を大幅に低下させています。攻撃は以下の多段階で実行されます。
ステージ1:RenEngine Loaderとサンドボックス回避
RenEngine Loaderが活動を開始すると、それが実際の被害者のマシンで動作しているのか、あるいはセキュリティ研究者のラボ(サンドボックス)で動作しているのかを厳密にチェックします。以下のシステム属性に基づいてスコアを計算します。
- RAMとディスクサイズ:現実的なハードウェア仕様(例:4GB以上のRAM)を確認します。
- マウスアクティビティ:ユーザーの操作の有無を検証します。
- 仮想化アーティファクト:VMware、VirtualBox、またはQEMUに関連するドライバーやレジストリキーをスキャンします。
もしシステムスコアが低すぎると判断された場合(サンドボックスである可能性が高い場合)、マルウェアは静かに終了します。環境が安全であると判断された場合、Base64とXORエンコーディングを使用して次のステージを復号します。
ステージ2:進化したHijackLoader
RenEngineは、新たなモジュール型「HijackLoader」の亜種に実行を引き渡します。このステージでは、DLLサイドローディングやモジュールスタンピングといった高度な回避技術を利用して、信頼されたシステムプロセスに溶け込みます。この亜種は、GPU仮想化検出(ANTIVMGPU)やハイパーバイザー固有の特性を検出するための新機能を含む、38の異なるモジュールを装備しています。
最終段階として、HijackLoaderは「Process Doppelgänging」という洗練されたコードインジェクション技術を用いて、正規のプロセスを空洞化し、最終的なペイロードを注入します。
最終ペイロード:情報窃取型マルウェア ACR Stealer
この複雑な攻撃チェーンの最終目標は、情報窃取型マルウェアである「ACR Stealer」の展開です(VidarやRhadamanthysといった亜種も確認されています)。ACR Stealerは、以下の機密データを攻撃者制御下のサーバーに不正に送信します。
- ブラウザのパスワードとクッキー
- 仮想通貨ウォレットのデータ
- システム情報とクリップボードの内容
まとめ:進化するマルウェア配信の手口
今回のキャンペーンは、マルウェア配信における著しい進化を示しています。正規のゲームエンジンを悪用し、厳格な環境チェック機能を備えた多段階かつモジュール型のローダーを組み合わせることで、脅威アクターは、最新のセキュリティ対策を効果的に回避する、持続的でステルス性の高い感染チェーンを構築しました。