Eine raffinierte Schadsoftware-Kampagne nutzt den neu entdeckten RenEngine-Loader, um heimlich Datendiebe auf Windows-Systeme zu schleusen. Seit April 2025 wurden bereits über 400.000 Nutzer kompromittiert – versteckt in geknackten Versionen populärer Videospiele.
Freitag, 06. Februar 2026 – Eine großangelegte Cyber-Bedrohung zielt gezielt auf Spieler ab, die Raubkopien herunterladen. Sicherheitsforscher von Cyderes haben die Kampagne aufgedeckt, bei der der als „RenEngine“ getaufte Loader in illegalen Launchern für AAA-Spiele steckt. Diese Malware bildet den Einstieg für einen mehrstufigen Angriff, der schließlich leistungsstarke Infostealer einschleust. Diese Datendiebe können eine breite Palette persönlicher und finanzieller Informationen abgreifen.
Das Ausmaß der Kampagne ist enorm: Weltweit sind über 400.000 Systeme infiziert, mit schätzungsweise 5.000 Neuinfektionen täglich. Die Angreifer tarnen ihre Schadsoftware geschickt in illegalen Kopien begehrter Spiele wie Far Cry, FIFA, Need for Speed und Assassin’s Creed. So erreichen sie ein breites und ahnungsloses Opferfeld.
Heime und Firmenrechner sind leichtes Ziel für heimliche Loader wie RenEngine: Infostealer exfiltrieren Passwörter, Sitzungsdaten und Krypto‑Wallets, bevor klassische Antivirenlösungen sie zuverlässig erkennen. Der kostenlose E‑Book‑Report „Cyber Security Awareness Trends“ erklärt praxisnah, welche sofort umsetzbaren Maßnahmen (Endpoint‑Härtung, Verhaltens‑Erkennung, regelmäßige Updates) echte Schutzwirkung bringen – sowohl für IT‑Teams als auch für Privatanwender. Er enthält Checklisten und konkrete Handlungsempfehlungen, mit denen Sie Infektionen früher entdecken und Datenlecks verhindern. Jetzt Cyber‑Security‑Report gratis anfordern
So funktioniert der zweistufige Angriff
Die Infektion beginnt, wenn ein Nutzer ein Spiel von einer Raubkopie-Seite herunterlädt und startet. Während die Ausführung legitim erscheint, wird im Hintergrund der RenEngine-Loader aktiviert. Diese erste Stufe missbraucht Ren’Py, eine legitime Open-Source-Spiele-Engine, um bösartige Python-Skripte auszuführen, die in den Spielarchiven versteckt sind.
RenEngine verfügt über raffinierte Verschleierungstechniken. Bevor er fortfährt, prüft der Loader, ob er in einer virtuellen Maschine oder einer Sandbox läuft – Umgebungen, die Sicherheitsforscher zur Analyse nutzen. Er bewertet Systemparameter wie RAM, CPU-Kerne, Festplattenspeicher und BIOS-Seriennummern, um Analysen zu erkennen und zu umgehen. Nur auf echten Nutzersystemen entschlüsselt und startet RenEngine dann die zweite Angriffsphase.
HijackLoader und der finale Datendieb
Die zweite Stufe involviert eine modulare und mächtige Malware namens HijackLoader. Diese Komponente nutzt fortgeschrittene Techniken, um sich tief im Windows-Betriebssystem zu verankern. Dazu gehören Process Hollowing, DLL Side-Loading und Call Stack Spoofing. Diese Methoden erlauben es der Malware, ihren Code unter dem Deckmantel legitimer, vertrauenswürdiger Prozesse auszuführen. Herkömmliche Antivirensoftware hat so große Schwierigkeiten, sie zu entdecken.
HijackLoader ist für das Ausliefern der finalen Nutzlast verantwortlich: den ACR Stealer. Dieser Infostealer ist darauf ausgelegt, ein breites Spektrum sensibler Daten vom infizierten Rechner zu erbeuten. Seine Fähigkeiten umfassen das Auslesen von Browser-Passwörtern, Cookies, Session-Tokens, Kryptowährungs-Wallets, Clipboard-Inhalten und detaillierten Systeminformationen. Alle gestohlenen Daten werden zu einem Command-and-Control-Server der Angreifer exfiltriert, um sie auszunutzen.
Globale Verbreitung und Bedrohungslage
Telemetriedaten, die seit Oktober 2025 in die Malware integriert sind, zeigen eine signifikante und stetige Infektionsrate mit einem Höhepunkt im Dezember 2025. Die Kampagne hat globale Reichweite. Die meisten Opfer gibt es in Indien (38.016), den USA (31.317) und Brasilien (25.220).
Diese Kampagne verkörpert einen wachsenden Trend: Cyberkriminelle nutzen legitime Software und raffinierte Verschleierungstaktiken, um Malware zu verbreiten. Der Einsatz von Infostealern als finale Nutzlast passt zudem zur aktuellen Bedrohungslandschaft. Gestohlene Zugangsdaten und Daten sind ein primäres Ziel von Cyberkriminalität, da sie weitere Angriffe wie Ransomware und Finanzbetrug befeuern. Die Konsolidierung der Angriffskette um Infostealer markiert einen Wendepunkt in der Malware-Entwicklung. Sie liefern den initialen Zugang und die Aufklärung für folgenschwerere Kompromittierungen.
Schutzmaßnahmen und Ausblick
Die RenEngine-Kampagne ist eine deutliche Warnung vor den Gefahren des Herunterladens von Software aus inoffiziellen und illegalen Quellen. Die Operatoren beobachten den Erfolg ihrer Kampagne aktiv und werden ihre Techniken wahrscheinlich weiter verfeinern und ihre Verteilnetzwerke ausbauen.
Um das Infektionsrisiko zu minimieren, sollten Nutzer Software ausschließlich von legitimen und offiziellen Quellen beziehen. Aktuelle Sicherheitssoftware und Vorsicht bei unaufgefordert erhaltenen Dateien sind entscheidende Schutzmaßnahmen. Die heimliche Natur von Loadern wie RenEngine und HijackLoader unterstreicht die Notwendigkeit für fortschrittlichen Endpoint-Schutz und Threat-Detection-Lösungen. Diese müssen verdächtige Verhaltensmuster erkennen können – nicht nur bekannte Malware-Signaturen. In einer sich ständig weiterentwickelnden Bedrohungslandschaft bleibt die Wachsamkeit der Nutzer die erste und wichtigste Verteidigungslinie.
PS: Die RenEngine‑Kampagne macht deutlich, wie entscheidend Awareness und einfache technische Maßnahmen sind, um Datendiebstahl zu verhindern. Das kostenlose E‑Book „Cyber Security Awareness Trends“ fasst aktuelle Angriffs‑Taktiken, relevante rechtliche Entwicklungen und praktische Checklisten zusammen, mit denen Sie Endpoints härten, Erkennungsregeln prüfen und Melde‑ und Reporting‑Prozesse verbessern. Außerdem beschreibt das E‑Book praxisnahe Tools und Reporting‑Checks, die Sie sofort anwenden können. E‑Book jetzt gratis herunterladen
