الكشف برمجية ”RenEngine” الخبيثة المنتشرة عبر الألعاب والبرامج المقرصنة

كشف قسم أبحاث التهديدات لدى كاسبرسكي عن تحليله لبرمجية RenEngine، وهي برمجية تحميل خبيثة جذبت اهتماماً كبيراً مؤخرًا. وقد رصدت كاسبرسكي نسخاً من هذه البرمجية الخبيثة في شهر مارس عام 2025، وكانت حلولها الأمنية تحمي المستخدمين من خطرها منذ ذلك الحين.

وبعيداً عن الألعاب المقرصنة التي أشارت إليها التقارير الأخيرة، اكتشف باحثو كاسبرسكي أنّ المهاجمين أنشأوا عشرات المواقع الإلكترونية التي تنشر برمجية RenEngine عبر برمجيات مقرصنة مثل برمجية CorelDRAW لتحرير الرسوميات. وهذا يوسع نطاق الهجوم ليشمل الأشخاص الباحثين عن نسخ البرمجيات غير المرخصة، فلا يقتصر خطره على مجتمع اللاعبين.

رصدت كاسبرسكي هجمات في روسيا، والبرازيل، وتركيا، وإسبانيا، وألمانيا، ودول أخرى. ويشير نمط الانتشار إلى أنّ هذه الهجمات انتهازية تستغل الفرص عشوائياً، ولا تندرج ضمن العمليات الموجهة بدقة نحو أهداف معينة.

وعندما رصدت كاسبرسكي برمجية RenEngine لأول مرة، كانت توزع برمجية السرقة الخبيثة Lumma. أما الهجمات الحالية فتوزع برمجية ACR Stealer الخبيثة كحمولة نهائية، كما رُصدت برمجية السرقة Vidar في بعض سلاسل العدوى.

تستغل تلك الحملة الخبيثة إصداراتٍ معدلةً من الألعاب مبنيةً على محرك Ren'Py للقصص المرئية. فعندما يشغل المستخدمون أداة التثبيت المصابة بالبرمجية الخبيثة، تظهر أمامهم شاشة تحميل وهمية بينما تعمل النصوص البرمجية الخبيثة في الخلفية. وتتضمن هذه النصوص البرمجية قدرات اكتشاف بيئة التجربة المعزولة (Sandbox)، وتفك تشفير ملف حمولة يطلق سلسلة إصابات متتابعة باستخدام HijackLoader، وهي أداة قابلة للتخصيص توزع البرمجيات الخبيثة.

يعلق على هذه المسألة بافيل سينينكو، كبير محللي البرمجيات الخبيثة لدى قسم أبحاث التهديدات في كاسبرسكي: «لا يقتصر هذا التهديد على الألعاب المقرصنة وحدها، إذ يتبع المهاجمون الأسلوب نفسه لنشر البرمجيات الخبيثة عبر برامج الإنتاجية المقرصنة، مما وسع نطاق الضحايا كثيراً. وتختلف صيغ ملفات الألعاب وفقاً لمحرك اللعبة وعنوانها. فإذا لم يتحقق محرك اللعبة من سلامة موارده، يستطيع المهاجمون تضمين برمجيات خبيثة تعمل حالما ينقر الضحية على زر التشغيل»

تصنف حلول كاسبرسكي الأمنية برمجية RenEngine ضمن مسميات Trojan.Python.Agent.nb وHEUR:Trojan.Python.Agent.gen. كما تصنف أداة HijackLoader ضمن مسميات Trojan.Win32.Penguish وTrojan.Win32.DllHijacker.

توصي كاسبرسكي بالخطوات التالية للمحافظة على حمايتكم:

• احرص على تحميل الألعاب والبرمجيات من المصادر الرسمية حصراً، فما تزال الألعاب والبرمجيات المقرصنة من أكثر وسائل انتشار البرمجيات الخبيثة.

• استخدم حلاً أمنياً موثوقاً مثل Kaspersky Premium، الذي يوفر حماية من التهديدات السيبرانية مثل RenEngine باستخدام ميزة اكتشاف السلوك. تحدد هذه الميزة النشاط الخبيث حتى عندما تتخفى البرمجيات الخبيثة على هيئة برامج شرعية.

• قم بتحديث نظام التشغيل والتطبيقات لضمان معالجة الثغرات الأمنية المعروفة.

• احذر من العروض «المجانية». فإذا وجدت لعبة أو برمجية مدفوعة متاحة للتحميل مجاناً في موقع غير رسمي، فمن المحتمل أن يكون ذلك العرض المجاني على حساب أمانك.