احذر الألعاب المقرصنة: كيف تحولت برمجية RenEngine إلى تهديد عالمي؟

تفكيك آلية RenEngine وخطرها بحسب تحليل كاسبرسكي

تكشف نتائج تحليل قسم أبحاث التهديدات لدى كاسبرسكي أن RenEngine هي برمجية تحميل خبيثة ظهرت كآلية توزيع ضمن بيئات الألعاب المبنية على محرك Ren’Py، وتنتشر عبر حزم من البرمجيات المقرصنة وليس عبر فئة محددة من المستخدمين فقط.

رصدت كاسبرسكي نسخاً من RenEngine في مارس 2025 وأكدت أن حلولها الأمنية كانت توفر حماية للمستخدمين من مخاطرها منذ ذلك الحين.

أوضح المحللون أن المهاجمين أنشأوا عشرات المواقع الإلكترونية لنشر RenEngine عبر برمجيات مقرصنة، ومن بينها حزمة CorelDRAW لتحرير الرسوميات، ما يوحي بتوسّع نطاق الاستهداف ليشمل من يستخدمون نسخاً غير قانونية من البرمجيات وليس فقط جمهور الألعاب.

تشير رصدات الهجوم إلى انتشار في روسيا والبرازيل وتركيا وإسبانيا وألمانيا ودول أخرى، ويبيّن نمط الانتشار طابعاً انتهازياً يعتمد على استغلال الفرص بشكل عشوائي، ولا يبدو جزءاً من عمليات موجهة للغاية نحو أهداف بعينها.

وعند رصد RenEngine للمرة الأولى، كان يُستخدم لتوزيع برمجية Lumma للسرقة، أما في الهجمات الأحدث فصار يستخدم كحمولة نهائية لتوزيع برمجية ACR Stealer، مع رصد ظهور برمجية Vidar في بعض سلاسل العدوى.

وتعتمد الحملة الخبيثة على إصدارات معدلة من ألعاب مبنية على محرك Ren’Py، فعند تشغيل أداة التثبيت المصابة تظهر شاشة تحميل وهمية أمام المستخدم، بينما تعمل النصوص البرمجية الخبيثة في الخلفية.

وتشمل هذه النصوص قدرات على اكتشاف بيئات العزل التجريبي (Sandbox) ثم فك تشفير الحمولة التي تفعّل سلسلة إصابات متتابعة باستخدام HijackLoader القابل للتخصيص لتوزيع البرمجيات الخبيثة.

وفي تعليقه، قال بافيل سينيينكو، كبير محللي البرمجيات الخبيثة لدى قسم أبحاث التهديدات، إن التهديد لم يعد محصوراً في الألعاب المقرصنة، بل يعتمد المهاجمون الأسلوب نفسه لنشر البرمجيات الخبيثة عبر برامج الإنتاجية المقرصنة، ما أدى إلى توسيع شريحة الضحايا بشكل ملحوظ.

كما تختلف صيغ ملفات الألعاب بحسب محرك اللعبة وعنوانها، وإذا لم يتحقق المحرك من سلامة موارده، فقد يتمكن المهاجمون من تضمين برمجيات خبيثة تُفعَّل فور نقر الضحية على زر التشغيل.