تثير برمجية RenEngine Loader الخبيثة اهتماماً واسعاً خلال الفترة الأخيرة، حيث رصدت تقارير الأمن وجود نسخ منها في مارس 2025، مؤكدة أن حلولها الأمنية وفرت الحماية للمستخدمين من مخاطرها منذ ذلك الحين.
وبعيداً عن الألعاب المقرصنة التي تناولتها تقارير سابقة، يوضح الباحثون أن المهاجمين أنشأوا عشرات المواقع الإلكترونية لنشر RenEngine عبر برامج مقرصنة، من بينها CorelDRAW لتحرير الرسوميات، وهو أمر يعني اتساع نطاق الهجوم ليشمل الباحثين عن نسخ غير مرخصة من البرمجيات وليس فقط مجتمع اللاعبين.
ورصد التقرير هجمات في روسيا والبرازيل وتركيا وإسبانيا وألمانيا ودول أخرى، ويشير إلى نمط انتشار يتسم بالانتهازية، حيث يستغل المهاجمون الفرص بشكل عشوائي ولا يبدو جزءاً من عمليات موجهة بدقة نحو أهداف محددة.
RenEngine تفتح الباب أمام برمجيات “الستيلر” العالمية؛ فعند رصدها للمرة الأولى كانت تستخدم لتوزيع برمجيـة Lumma، أما في الهجمات الحالية فتستخدم كحمولة نهائية لتوزيع ACR Stealer مع رصد ظهور Vidar في سلاسل عدوى بعينها.
تعتمد الحملة الخبيثة على إصدارات معدلة من ألعاب مبنية على محرك Ren’Py للقصص المرئية، فبعد تشغيل أداة التثبيت المصابة تظهر شاشة تحميل وهمية أمام المستخدم، بينما تعمل النصوص البرمجية الخبيثة في الخلفية.
وتشمل هذه النصوص قدرات على اكتشاف بيئات العزل التجريبية Sandbox ثم فك تشفير الحمولة التي تُنشئ سلسلة إصابات متتابعة باستخدام أداة HijackLoader القابلة للتخصيص لتوزيع البرمجيات الخبيثة.
وفي تعليقه على التطورات، قال بافيل سينينكو، كبير محللي البرمجيات الخبيثة لدى قسم أبحاث التهديدات، إن التهديد لم يعد مقصوراً على الألعاب المقرصنة، بل يعتمد المهاجمون الأسلوب نفسه لنشر البرمجيات الخبيثة عبر برامج الإنتاجية المقرصنة، ما وسّع شريحة الضحايا بشكل ملحوظ.
كما تختلف صيغ ملفات الألعاب بحسب محركها وعنوانها، وإذا لم يتحقق المحرك من سلامة موارده فقد يتمكن المهاجمون من تضمين برمجيات خبيثة تُفعَّل فور النقر على زر التشغيل.
