Malware RenEngine incar gamer

JAKARTA (IndoTelko) Kaspersky melalui Tim Riset Ancaman (Threat Research) mengungkap penyebaran malware loader RenEngine yang kini marak melalui game dan perangkat lunak bajakan sejak Maret 2025.

Dalam analisis terbarunya, Kaspersky menemukan bahwa distribusi RenEngine tidak hanya menyasar game ilegal, tetapi juga merambah software populer seperti CorelDRAW versi bajakan. Penyerang bahkan membuat puluhan situs web palsu untuk menyebarkan malware ini, sehingga memperluas target ke pengguna umum yang mencari software tanpa lisensi.

Secara global, insiden terkait RenEngine terdeteksi di sejumlah negara, antara lain Rusia, Brasil, Turki, Spanyol, dan Jerman. Pola penyebaran tersebut menunjukkan karakter serangan yang bersifat oportunistik dan tidak menargetkan korban secara spesifik.

Awalnya, RenEngine digunakan untuk menyebarkan Lumma stealer, namun kini berkembang dengan membawa ACR Stealer sebagai muatan utama. Dalam beberapa kasus, malware ini juga mendistribusikan Vidar stealer melalui rantai infeksi bertahap yang kompleks dengan memanfaatkan HijackLoader sebagai pengantar.

Serangan dilakukan dengan memodifikasi game berbasis mesin Ren’Py. Saat pengguna menjalankan installer yang telah terinfeksi, sistem menampilkan layar loading palsu, sementara skrip berbahaya berjalan di latar belakang. Skrip tersebut mampu mendeteksi lingkungan sandbox serta mendekripsi payload untuk memulai infeksi lanjutan.

Peneliti keamanan Pavel Sinenko mengatakan teknik ini tidak lagi terbatas pada distribusi game ilegal. “Ancaman ini tidak hanya terbatas pada game bajakan — teknik yang sama juga digunakan untuk menyebarkan malware melalui software produktivitas ilegal, sehingga memperluas potensi korban secara signifikan,” ujarnya.

Ia menambahkan bahwa celah verifikasi integritas file pada mesin game memungkinkan penyerang menyisipkan malware yang akan aktif saat aplikasi dijalankan oleh pengguna.

Kaspersky mendeteksi ancaman ini dengan berbagai label, seperti Trojan.Python.Agent.nb dan HEUR:Trojan.Python.Agent.gen, sementara HijackLoader teridentifikasi sebagai Trojan.Win32.Penguish dan Trojan.Win32.DllHijacker.

Untuk meminimalkan risiko, perusahaan menyarankan pengguna mengunduh game dan software hanya dari sumber resmi, menggunakan solusi keamanan tepercaya, rutin memperbarui sistem, serta menghindari software berbayar yang ditawarkan secara gratis melalui situs tidak resmi.

Temuan ini menegaskan bahwa penggunaan software bajakan tidak hanya melanggar hukum, tetapi juga membuka celah besar bagi serangan siber yang dapat membahayakan data dan perangkat pengguna. (mas)