برمجية "RenEngine" الخبيثة تتجاوز الألعاب وتستهدف مستخدمي البرامج المقرصنة
كشف باحثون في "كاسبرسكي" أن برمجية التحميل الخبيثة "RenEngine" تحولت من تهديد يركز على الألعاب المقرصنة إلى أداة واسعة النطاق تستهدف الباحثين عن برامج مقرصنة متنوعة، مما يوسع دائرة الخطر بشكل كبير.
أوضح قسم أبحاث التهديدات في الشركة الروسية أنهم رصدوا نسخاً من هذه البرمجية منذ مارس 2025، مشيرين إلى أنهم يوفرون الحماية منها منذ ذلك الحين. لكن المفاجأة تكمن في أن المهاجمين لم يعودوا يقتصرون على الألعاب؛ إذ أنشأوا عشرات المواقع التي تنشر "RenEngine" عبر برامج مقرصنة أخرى، مثل برنامج تحرير الرسوميات "CorelDRAW".
هذا التوسع يعني أن الهجوم لم يعد موجهاً فقط لمجتمع اللاعبين، بل طال أي شخص يبحث عن نسخ غير مرخصة من البرامج. وشملت الهجمات المكتشفة دولاً مثل روسيا والبرازيل وتركيا وإسبانيا وألمانيا، وتتسم هذه الحملات بالطابع الانتهازي، حيث تستغل الفرص بشكل عشوائي بدلاً من استهداف محدد.
تعتمد آلية عمل "RenEngine" على استغلال إصدارات معدلة من ألعاب مبنية على محرك "Ren'Py" للقصص المرئية. عند تشغيل أداة التثبيت المصابة، تظهر شاشة وهمية للمستخدم بينما تعمل النصوص الخبيثة في الخلفية، والتي لديها القدرة على اكتشاف بيئات العزل (Sandbox) ثم فك تشفير حمولة تبدأ سلسلة إصابات متتالية عبر أداة "HijackLoader" لتوزيع البرمجيات الخبيثة.
عند رصدها لأول مرة، كانت "RenEngine" تستخدم لتوزيع برمجية السرقة "Lumma"، لكن في الهجمات الحالية، يتم استخدامها لنشر برمجية "ACR Stealer" كحمولة نهائية، مع رصد ظهور برمجية السرقة "Vidar" في بعض مسارات العدوى.
وعلق بافيل سينينكو، كبير محللي البرمجيات الخبيثة، مؤكداً أن التهديد توسع ليشمل برامج الإنتاجية المقرصنة، مما زاد من شريحة الضحايا. وأضاف أن عدم تحقق محرك اللعبة من سلامة موارده يسمح للمهاجمين بتضمين برمجيات خبيثة تُفعَّل فور نقر المستخدم على زر التشغيل.
