أظهرت تقارير قسم أبحاث التهديدات لدى كاسبرسكي أن RenEngine فتحت باباً لنطاق واسع من برمجيات السرقة، مع رصد نسخ منها في مارس 2025 وتأكيد أن حلول الأمن كانت توفر الحماية للمستخدمين منذ ذلك الحين.
وأكدت النتائج أن المهاجمين نشروا RenEngine عبر عشرات المواقع وبرامج مقرصنة من بينها أدوات تحرير رسومية مثل CorelDRAW، ما يوحي بتوسع نطاق الهجوم ليشمل مستخدمين يبحثون عن نسخ غير مرخصة من البرامج وليس فقط مجتمع الألعاب.
ورصدت كاسبرسكي هجمات في روسيا والبرازيل وتركيا وإسبانيا وألمانيا ودول أخرى، وتبين أن النمط هجوم انتهازي يعتمد على اغتنام الفرص بشكل عشوائي وليس هجوماً موجهًا لأهداف بعينها.
تطور استخدام RenEngine كأداة نشر
عند رصد RenEngine للمرة الأولى، استُخدم لتوزيع برمجية Lumma، أما الآن فصار يستخدم كآلية توزيع لبرمجية ACR Stealer كحمولة نهائية، مع ظهور Vidar في بعض سلاسل العدوى.
تعتمد الحملة على إصدارات معدلة من ألعاب مبنية على محرك Ren’Py للقصص المرئية، فعند تشغيل أداة التثبيت المصابة تظهر شاشة تحميل مزيفة للمستخدم بينما تعمل التعليمات البرمجية الخبيثة في الخلفية.
تشمل هذه التعليمات قدرات على اكتشاف بيئات العزل Sandbox ثم فك تشفير الحمولة لإطلاق سلسلة إصابات متتابعة باستخدام أداة HijackLoader القابلة للتخصيص لتوزيع البرمجيات الخبيثة.
وفي تعليق على التطورات، قال بافيل سينينكو، كبير محللي البرمجيات الخبيثة لدى قسم أبحاث التهديدات، إن التهديد لم يعد محصوراً في الألعاب المقرصنة بل يشمل استخدام نفس الأساليب عبر حزم الإنتاجية المقرصنة، ما وسّع شريحة الضحايا بشكل ملحوظ.
كما تختلف صيغ ملفات الألعاب بحسب محرك اللعبة والعنوان، وإذا لم يتحقق المحرك من سلامة موارده قد يتمكن المهاجمون من دمج برمجيات خبيثة تُفعَّل فور النقر على زر التشغيل.
