برمجية RenEngine الخبيثة المنتشرة عبر الألعاب والبرامج المقرصنة
كشف قسم أبحاث التهديدات لدى كاسبرسكي عن تحليله لبرمجية RenEngine، وهي برمجية تحميل خبيثة جذبت اهتماماً كبيراً مؤخرًا، وقد رصدت كاسبرسكي نسخاً من هذه البرمجية الخبيثة في شهر مارس عام 2025، وكانت حلولها الأمنية تحمي المستخدمين من خطرها منذ ذلك الحين.
برمجية RenEngine الخبيثة
وبعيداً عن الألعاب المقرصنة التي أشارت إليها التقارير الأخيرة، اكتشف باحثو كاسبرسكي أنّ المهاجمين أنشأوا عشرات المواقع الإلكترونية التي تنشر برمجية RenEngine عبر برمجيات مقرصنة مثل برمجية CorelDRAW لتحرير الرسوميات. وهذا يوسع نطاق الهجوم ليشمل الأشخاص الباحثين عن نسخ البرمجيات غير المرخصة، فلا يقتصر خطره على مجتمع اللاعبين.
رصدت كاسبرسكي هجمات في روسيا، والبرازيل، وتركيا، وإسبانيا، وألمانيا، ودول أخرى. ويشير نمط الانتشار إلى أنّ هذه الهجمات انتهازية تستغل الفرص عشوائياً، ولا تندرج ضمن العمليات الموجهة بدقة نحو أهداف معينة.
وعندما رصدت كاسبرسكي برمجية RenEngine لأول مرة، كانت توزع برمجية السرقة الخبيثة Lumma. أما الهجمات الحالية فتوزع برمجية ACR Stealer الخبيثة كحمولة نهائية، كما رُصدت برمجية السرقة Vidar في بعض سلاسل العدوى.
تستغل تلك الحملة الخبيثة إصداراتٍ معدلةً من الألعاب مبنيةً على محرك Ren'Py للقصص المرئية. فعندما يشغل المستخدمون أداة التثبيت المصابة بالبرمجية الخبيثة، تظهر أمامهم شاشة تحميل وهمية بينما تعمل النصوص البرمجية الخبيثة في الخلفية. وتتضمن هذه النصوص البرمجية قدرات اكتشاف بيئة التجربة المعزولة (Sandbox)، وتفك تشفير ملف حمولة يطلق سلسلة إصابات متتابعة باستخدام HijackLoader، وهي أداة قابلة للتخصيص توزع البرمجيات الخبيثة.
يعلق على هذه المسألة بافيل سينينكو، كبير محللي البرمجيات الخبيثة لدى قسم أبحاث التهديدات في كاسبرسكي: «لا يقتصر هذا التهديد على الألعاب المقرصنة وحدها، إذ يتبع المهاجمون الأسلوب نفسه لنشر البرمجيات الخبيثة عبر برامج الإنتاجية المقرصنة، مما وسع نطاق الضحايا كثيراً. وتختلف صيغ ملفات الألعاب وفقاً لمحرك اللعبة وعنوانها. فإذا لم يتحقق محرك اللعبة من سلامة موارده، يستطيع المهاجمون تضمين برمجيات خبيثة تعمل حالما ينقر الضحية على زر التشغيل».
