أعلن قسم أبحاث التهديدات في المركز الروسي “كاسبرسكي” عن تحليل برمجية RenEngine، وهي برمجية تحميل خبيثة حظيت باهتمام كبير في الآونة الأخيرة، حيث تم رصد نسخ منها في مارس 2025، وأكدت الشركة أن حلولها الأمنية كانت توفر حماية فعالة للمستخدمين من مخاطرها منذ ذلك الحين.
في سياق مختلف عن الألعاب المقرصنة التي تم تناولها في تقارير سابقة، أوضح الباحثون أن المهاجمين قاموا بإنشاء عشرات المواقع الإلكترونية لنشر برمجية RenEngine عبر برامج مقرصنة، من بينها برنامج CorelDRAW لتحرير الرسوميات، مما يعني أن نطاق الهجوم قد اتسع ليشمل الباحثين عن نسخ غير مرخصة من البرامج بدلاً من الاقتصار على مجتمع اللاعبين.
وقد رصد التقرير هجمات في دول مثل روسيا والبرازيل وتركيا وإسبانيا وألمانيا، ويشير نمط الانتشار إلى أن هذه الهجمات تتميز بالطابع الانتهازي، حيث تستغل الفرص بشكل عشوائي ولا تبدو جزءاً من عمليات موجهة بدقة نحو أهداف محددة.
RenEngine تفتح الباب لبرمجيات “الستيلر” العالمية
عند رصد RenEngine للمرة الأولى، كانت تُستخدم لتوزيع برمجية السرقة الخبيثة Lumma، بينما في الهجمات الحالية، تُستخدم لتوزيع برمجية ACR Stealer كحمولة نهائية، مع ظهور برمجية السرقة Vidar في بعض سلاسل العدوى.
تعتمد الحملة الخبيثة على إصدارات معدلة من ألعاب مبنية على محرك Ren’Py للقصص المرئية، فعند تشغيل أداة التثبيت المصابة، تظهر شاشة تحميل وهمية أمام المستخدم بينما تعمل النصوص البرمجية الخبيثة في الخلفية.
تشمل هذه النصوص قدرات على اكتشاف بيئات العزل التجريبية “Sandbox”، ثم فك تشفير حمولة تطلق سلسلة إصابات متتابعة باستخدام أداة HijackLoader القابلة للتخصيص لتوزيع البرمجيات الخبيثة.
وفي تعليقه على هذه التطورات، قال بافيل سينينكو، كبير محللي البرمجيات الخبيثة لدى قسم أبحاث التهديدات، إن التهديد لم يعد مقتصراً على الألعاب المقرصنة، حيث يعتمد المهاجمون الأسلوب نفسه لنشر البرمجيات الخبيثة عبر برامج الإنتاجية المقرصنة، مما أدى إلى توسيع شريحة الضحايا بشكل ملحوظ.
كما تختلف صيغ ملفات الألعاب بحسب محرك اللعبة وعنوانها، وإذا لم يتحقق المحرك من سلامة موارده، فقد يتمكن المهاجمون من تضمين برمجيات خبيثة تُفعَّل فور نقر الضحية على زر التشغيل.