تعلن شركة كاسبرسكي عن نتائج تحليل قسم أبحاث التهديدات لديها حول برمجية RenEngine الخبيثة التي تعمل كأداة تحميل مخادعة. وتوضح النتائج أن RenEngine حصدت اهتماماً واسعاً منذ رصدها الأول في مارس 2025، مع تسجيل وجود نسخ منها في روسيا والبرازيل وتركيا وإسبانيا وألمانيا ودول أخرى. وتؤكد الشركة أن حلولها الأمنية كانت توفر حماية للمستخدمين من مخاطر RenEngine منذ ذلك الحين، وتوضح أن التحديثات الأخيرة تعزز هذه الحماية. كما تشير النتائج إلى أن النطاق لا يقتصر على الألعاب المقرصنة بل اتسع ليشمل برمجيات إنتاجية مقرصنة مثل CorelDRAW، ما يوحي بتوسّع دائرة الضحايا إلى فئات أوسع من المستخدمين.
آليات الانتشار والتشغيل
عند رصد RenEngine للمرة الأولى، استُخدمت لتوزيع برمجية Lumma الخبيثة الخاصة بالسرقة الرقمية، ثم تحولت الهجمات اللاحقة لتوزيع ACR Stealer كحمولة نهائية مع ظهور Vidar في بعض سلاسل العدوى. وتعتمد الحملة على نسخ معدلة من ألعاب مبنية على محرك Ren’Py للقصص المرئية، فعند تشغيل أداة التثبيت المصابة تظهر شاشة تحميل وهمية أمام المستخدم، بينما تعمل النصوص البرمجية الخبيثة في الخلفية. وتضم الشفرة الخبيثة قدرات على اكتشاف بيئات العزل Sandbox، وتقوم لاحقاً بفك تشفير الحمولة لإطلاق سلسلة إصابات متتابعة باستخدام أداة HijackLoader القابلة للتخصيص لتوزيع البرمجيات الخبيثة. كما يلاحظ أن أساليب النشر تتسم بالانتهازية وتُستخدم عبر منشورات وبرمجيات مقرصنة متاحة للمستخدمين بشكل عشوائي، وهذا يوسع دائرة الضحايا بشكل ملحوظ.
وأشار بافيل سينينكو، كبير محللي البرمجيات الخبيثة لدى قسم أبحاث التهديدات، إلى أن التهديد لم يعد مقتصراً على الألعاب المقرصنة بل أصبح يطال البرمجيات الإنتاجية المقرصنة، مع الاعتماد نفسه في نشر البرمجيات الخبيثة عبر تطبيقات إنتاجية مقرصنة. وتوضح التحليلات أن صيغ ملفات الألعاب تختلف باختلاف المحرك والعنوان، وإذا لم يتحقق المحرك من سلامة موارده فقد يتم تضمين برمجيات خبيثة تُفعل عند النقر. وتؤكد النتائج أن هذه الحملة تعتمد على فرص غير موجهة وتستغلها بشكل عشوائي، ما يسهم في توسيع شريحة الضحايا بشكل ملحوظ.
