تطور ظهور RenEngine وتفسير دورها
رصدت كاسبرسكي لدى قسم أبحاث التهديدات RenEngine كأداة تحميل خبيثة تعمل كجسر لإيصال برمجيات سرقة بيانات، وتستخدم كحمولة نهائية مع Lumma وتظهر Vidar في بعض سلاسل العدوى، مع الإشارة إلى استخدامها في مسارات توزيع تعتمد على نسخ من ألعاب مزيفة ومعدلة تعمل على محرك Ren’Py.
وتبين أن الهجمات السابقة تعتمدت على Lumma كهدف أول، بينما باتت الهجمات الأحدث تستخدم RenEngine لتوزيع ACR Stealer كحمولة رئيسية، مع رصد ظهور Vidar في بعض خطوط العدوى.
وتشير التقارير إلى أن نطاق الانتشار شمل روسيا والبرازيل وتركيا وإسبانيا وألمانيا ودول أخرى، وتظهر النمطية أن الهجمات انتهازية وتستفيد من فرص غير مركزة على أهداف محددة بعينها.
كيفية عمل الحملة ونطاق الإصابات
تعتمد الحملة على إصدارات معدلة من ألعاب مبنية على محرك Ren’Py للقصص المرئية، وعند تشغيل أداة التثبيت المصابة تظهر شاشة تحميل وهمية أمام المستخدم بينما تعمل النصوص البرمجية الخبيثة في الخلفية.
تشمل النصوص قدرات على اكتشاف بيئات العزل Sandbox، ثم فك تشفير الحمولة لتشغيل سلسلة إصابات متتابعة باستخدام HijackLoader القابل للتخصيص لتوزيع البرمجيات الخبيثة.
وصف الباحثون أن التهديد لم يعد مقتصراً على الألعاب المقرصنة، إذ يعتمد المهاجمون الأسلوب نفسه لنشر البرمجيات الخبيثة عبر برامج الإنتاجية المقرصنة، ما أدى إلى توسيع شريحة الضحايا بشكل ملحوظ.
تختلف صيغ ملفات الألعاب بحسب محرك اللعبة وعنوانها، وإذا لم يتحقق المحرك من سلامة موارده، فقد يتمكن المهاجمون من تضمين برمجيات خبيثة تُفَعَّل فور نقر الضحية على زر التشغيل.
