PiviGames détourné en hub de malware: chaîne d’infection HijackLoader via malvertising et MediaFire

Selon Security Blog (Karsten Hahn et John Dador), cette première partie d’une série en deux volets analyse l’infection initiale observée depuis novembre 2025 après un signalement Reddit, reliant des téléchargements sur le site pirate PiviGames à l’exécution du loader HijackLoader; la seconde partie couvrira le payload ACRStealer. 🎮 Contexte et vecteur: PiviGames, connu pour proposer des liens de jeux PC piratés, charge des scripts Cloudflare pour paraître légitime puis un JavaScript “pgedshop.js” qui orchestre des redirections conditionnées par cookies. La première visite envoie vers hxxps://adbuho[.]shop/HIx0J, puis vers un domaine aléatoire en .pro et enfin une URL MediaFire. L’utilisateur récupère “Full Version Setup 6419 Open.zip” (mot de passe “6419”), qui contient des ressources et un “Setup.exe”. Le lanceur est légitime mais déclenche une infection via DLL sideloading en chargeant Conduit.Broker.dll (HijackLoader).