برزت RenEngine كبرمجية تحميل خبيثة أثارت اهتماماً واسعاً خلال الفترة الأخيرة، ورصدت كاسبرسكي نسخاً من هذه البرمجية في مارس 2025، مؤكدة أن حلولها الأمنية كانت توفر الحماية للمستخدمين من خطرها منذ ذلك الحين.
وبعيداً عن الألعاب المقرصنة التي تناولتها تقارير سابقة، أوضح الباحثون أن المهاجمين أنشأوا عشرات المواقع الإلكترونية لنشر RenEngine عبر برامج مقرصنة، من بينها برنامج CorelDRAW لتحرير الرسوميات، مما يعني اتساع نطاق الهجوم ليشمل الباحثين عن نسخ غير مرخصة من البرامج وليس فقط مجتمع اللاعبين.
ورصد التقرير هجمات في روسيا والبرازيل وتركيا وإسبانيا وألمانيا ودول أخرى، ويشير نمط الانتشار إلى أنها هجمات انتهازية تستغل الفرص عشوائياً ولا تبدو كجزء من عمليات موجهة إلى أهداف محددة.
RenEngine تفتح الباب لبرمجيات “الستيلر” العالمية
عند رصد RenEngine للمرة الأولى كانت تُستخدم لتوزيع برمجية Lumma الخبيثة، أما الهجمات الحالية فتعتمد توزيع Payload باسم ACR Stealer، مع ظهور Vidar في بعض سلاسل العدوى.
تعتمد الحملة الخبيثة على إصدارات معدلة من ألعاب مبنية على محرك Ren’Py للقصص المرئية، فعند تشغيل أداة التثبيت المصابة تظهر شاشة تحميل وهمية أمام المستخدم، بينما تعمل النصوص البرمجية الخبيثة في الخلفية.
وتشمل هذه النصوص قدرات على اكتشاف بيئات العزل التجريبية، ثم فك تشفير الحمولة التي تفتح سلسلة إصابات متتابعة باستخدام HijackLoader القابل للتخصيص لتوزيع البرمجيات الخبيثة.
وفي تعليقه على هذه التطورات، قال بافيل سينينكو، كبير محللي البرمجيات الخبيثة لدى قسم أبحاث التهديدات، إن التهديد لم يعد مقتصراً على الألعاب المقرصنة، إذ يعتمد المهاجمون الأسلوب نفسه لنشر البرمجيات الخبيثة عبر برامج الإنتاجية المقرصنة، مما أدى إلى توسيع شريحة الضحايا بشكل ملحوظ.
كما تختلف صيغ ملفات الألعاب بحسب محرك اللعبة وعنوانها، وإذا لم يتحقق المحرك من سلامة موارده، فقد يتمكن المهاجمون من تضمين برمجيات خبيثة تُفعَّل فور نقر الضحية على زر التشغيل.
