كشف قسم أبحاث التهديدات لدى المركز الروسي" كاسبرسكي" عن تحليله لبرمجية RenEngine، وهي برمجية تحميل خبيثة أثارت اهتماماً واسعاً خلال الفترة الأخيرة، وقد رصدت الشركة نسخاً من هذه البرمجية في مارس 2025، مؤكدة أن حلولها الأمنية كانت توفر الحماية للمستخدمين من خطرها منذ ذلك الحين.
وبعيداً عن الألعاب المقرصنة التي تناولتها تقارير سابقة، أوضح الباحثون أن المهاجمين أنشأوا عشرات المواقع الإلكترونية لنشر برمجية RenEngine عبر برامج مقرصنة، من بينها برنامج CorelDRAW لتحرير الرسوميات.
ويعني ذلك اتساع نطاق الهجوم ليشمل الباحثين عن نسخ غير مرخصة من البرامج، وليس فقط مجتمع اللاعبين.
ورصد التقرير هجمات في روسيا والبرازيل وتركيا وإسبانيا وألمانيا ودول أخرى.
ويشير نمط الانتشار إلى أن هذه الهجمات تتسم بالطابع الانتهازي، إذ تستغل الفرص بشكل عشوائي، ولا تبدو جزءاً من عمليات موجهة بدقة نحو أهداف محددة.
RenEngine تفتح الباب لبرمجيات" الستيلر" العالمية.
وعند رصد RenEngine للمرة الأولى، كانت تُستخدم لتوزيع برمجية السرقة الخبيثة Lumma.
أما في الهجمات الحالية، فتُستخدم لتوزيع برمجية ACR Stealer كحمولة نهائية، مع رصد ظهور برمجية السرقة Vidar في بعض سلاسل العدوى.
وتعتمد الحملة الخبيثة على إصدارات معدلة من ألعاب مبنية على محرك Ren'Py للقصص المرئية.
فعند تشغيل أداة التثبيت المصابة، تظهر شاشة تحميل وهمية أمام المستخدم، بينما تعمل النصوص البرمجية الخبيثة في الخلفية.
وتشمل هذه النصوص قدرات على اكتشاف بيئات العزل التجريبية" Sandbox"، ثم فك تشفير حمولة تطلق سلسلة إصابات متتابعة باستخدام أداة HijackLoader القابلة للتخصيص لتوزيع البرمجيات الخبيثة.
وفي تعليقه على هذه التطورات، قال بافيل سينينكو، كبير محللي البرمجيات الخبيثة لدى قسم أبحاث التهديدات، إن التهديد لم يعد مقتصراً على الألعاب المقرصنة، إذ يعتمد المهاجمون الأسلوب نفسه لنشر البرمجيات الخبيثة عبر برامج الإنتاجية المقرصنة، ما أدى إلى توسيع شريحة الضحايا بشكل ملحوظ.
كما تختلف صيغ ملفات الألعاب بحسب محرك اللعبة وعنوانها، وإذا لم يتحقق المحرك من سلامة موارده، فقد يتمكن المهاجمون من تضمين برمجيات خبيثة تُفعَّل فور نقر الضحية على زر التشغيل.
التعليقات (0)
لا توجد تعليقات حتى الآن. كن أول من يعلق!
أضف تعليقك