رصد قسم أبحاث التهديدات في كاسبرسكي برمجية RenEngine كأداة تحميل خبيثة تُوزّع عبر نسخ مقرصة من برامج شهيرة، حيث رصدت وجودها في مارس 2025 وأكدت أن حلولها الأمنية كانت توفر الحماية للمستخدمين منذ ذلك الحين.
وعلى نحو أوسع من الألعاب المقرصنة وحدها، أوضح الباحثون أن المهاجمين أنشأوا عشرات المواقع الإلكترونية لنشر RenEngine عبر برامج مقرصة، من بينها أداة CorelDRAW لتحرير الرسوميات، ما يشير إلى اتساع نطاق الهجوم ليشمل من يبحثون عن نسخ غير مرخصة من برامج الإنتاجية وليس فقط مجتمع اللاعبين.
ورصد التقرير هجمات في روسيا والبرازيل وتركيا وإسبانيا وألمانيا ودول أخرى، وتدل أنماط الانتشار على أنها هجمات انتهازية تستغل الفرص بشكل عشوائي، وليست جزءاً من عمليات موجهة بدقة نحو أهداف محددة.
RenEngine تفتح الباب لبرمجيات “الستيلر” العالمية
عند رصد RenEngine للمرة الأولى، كانت تُستخدم لتوزيع برمجية Lumma الخبيثة، أما في الهجمات الحالية فـ تُستخدم كحمولة نهائية لتوزيع ACR Stealer مع ظهور Vidar في بعض سلاسل العدوى.
تعتمد الحملة الخبيثة على إصدارات معدلة من ألعاب مبنية على محرك Ren’Py للقصص المرئية، فعند تشغيل أداة التثبيت المصابة تظهر شاشة تحميل وهمية أمام المستخدم، بينما تعمل النصوص البرمجية الخبيثة في الخلفية.
وتشمل هذه النصوص قدرة على اكتشاف بيئات العزل التجريبية Sandbox، ثم فك تشفير الحمولة التي تطلق سلسلة إصابات متتابعة باستخدام أداة HijackLoader القابلة للتخصيص لتوزيع البرمجيات الخبيثة.
وفي تعليقه على التطورات، ذكر بافيل سينينكو، كبير محللي البرمجيات الخبيثة لدى قسم أبحاث التهديدات، أن التهديد لم يعد مقتصراً على الألعاب المقرصنة، إذ يعتمد المهاجمون الأسلوب نفسه لنشر البرمجيات الخبيثة عبر برامج الإنتاجية المقرصنة، مما أدى إلى توسيع شريحة الضحايا بشكل ملحوظ.
كما تختلف صيغ ملفات الألعاب بحسب محرك اللعبة وعنوانها، وإذا لم يتحقق المحرك من سلامة موارده فقد يتمكن المهاجمون من تضمين برمجيات خبيثة تُفعَّل فور النقر على زر التشغيل.
