RenEngine تفتح الباب لبرمجيات “الستيلر” العالمية
رصدت كاسبرسكي نسخاً من RenEngine في مارس 2025، مؤكدة أن حلولها الأمنية كانت توفر الحماية للمستخدمين من خطرها منذ ذلك الحين.
أوضح الباحثون أن المهاجمين أنشأوا عشرات المواقع الإلكترونية لنشر RenEngine عبر برامج مقرصنة، من بينها CorelDRAW لتحرير الرسوميات، وهو ما يعني اتساع الهجوم ليشمل من يسعون لنسخ غير مرخصة من البرامج وليس فقط مجتمع اللاعبين.
رصدت التقارير هجمات في روسيا والبرازيل وتركيا وإسبانيا وألمانيا ودول أخرى، ويشير نمط الانتشار إلى طابعاً انتهازياً يعتمد على استغلال الفرص بشكل عشوائي، وليس كجزء من حملة موجهة نحو أهداف محددة.
آليات العمل وآثار التوزيع
استُخدمت RenEngine في البداية لتوزيع برمجية Lumma الخبيثة كحملة ابتدائية.
وفي الهجمات الحالية، استخدمت RenEngine لتوزيع ACR Stealer كحمولة نهائية، مع رصد ظهور Vidar في بعض سلاسل العدوى.
تعتمد الحملة الخبيثة على إصدارات معدلة من ألعاب مبنية على محرك Ren’Py للقصص المرئية، فعند تشغيل أداة التثبيت المصابة تظهر شاشة تحميل وهمية أمام المستخدم وتعمل النصوص البرمجية الخبيثة في الخلفية.
تشمل هذه النصوص قدرات على اكتشاف بيئات العزل التجريبية، ثم فك تشفير الحمولة التي تطلق سلسلة إصابات متتابعة باستخدام HijackLoader القابل للتخصيص لتوزيع البرمجيات الخبيثة.
أوضح بافيل سينيينكو، كبير محللي البرمجيات الخبيثة لدى قسم أبحاث التهديدات، أن التهديد لم يعد مقتصراً على الألعاب المقرصنة، إذ يعتمد المهاجمون الأسلوب نفسه لنشر البرمجيات الخبيثة عبر برمجيات الإنتاجية المقرصنة، مما أدى إلى توسيع شريحة الضحايا بشكل ملحوظ.
وتختلف صيغ ملفات الألعاب بحسب محرك اللعبة وعنوانها، وتختلف بحسب المحرك؛ إذا لم يتحقق المحرك من سلامة موارده، فقد يتمكن المهاجمون من تضمين برمجيات خبيثة تُفَعَّل فور نقر الضحية على زر التشغيل.
