كشفت كاسبرسكي عن برمجية خبيثة جديدة اسمها RenEngine، اللي لفتت انتباه الكثيرين مؤخرًا، ورصدت نسخ منها في مارس 2025، وكانت حلولها الأمنية تحمي المستخدمين منها منذ ذلك الحين.
برمجية RenEngine الخبيثة
الباحثون في كاسبرسكي اكتشفوا إن المهاجمين أنشأوا مواقع تنشر برمجية RenEngine من خلال برمجيات مقرصنة، مثل CorelDRAW، وهذا خطره مش بس على لاعبي الألعاب، لكنه يمتد لكل الباحثين عن نسخ غير مرخصة من البرمجيات.
كاسبرسكي رصدت هجمات في دول مثل روسيا والبرازيل وتركيا وإسبانيا وألمانيا، وبيّن نمط الهجوم إنه عشوائي، يعني المهاجمين يستغلوا الفرص بدون استهداف محدد.
لما ظهرت RenEngine لأول مرة، كانت بتوزع برمجية سرقة اسمها Lumma، لكن الهجمات الحالية بتوزع برمجية ACR Stealer، وكمان رُصدت برمجية Vidar في بعض العدوى.
الحملة الخبيثة دي بتستغل نسخ معدلة من الألعاب اللي مبنية على محرك Ren’Py، ولما المستخدمين يشغلوا أداة التثبيت المصابة، بيظهر لهم شاشة تحميل وهمية، بينما البرمجيات الخبيثة شغالة في الخلفية، وبتتضمن قدرات لاكتشاف بيئة التجربة المعزولة، وتفك تشفير ملفات تطلق سلسلة من الإصابات باستخدام أداة HijackLoader، وهي أداة توزع البرمجيات الخبيثة.
باڤيل سينينكو، كبير محللي البرمجيات الخبيثة في كاسبرسكي، قال إن التهديد مش مقتصر على الألعاب المقرصنة بس، لأن المهاجمين بيستخدموا نفس الأسلوب لنشر البرمجيات الخبيثة عبر برامج إنتاجية مقرصنة، مما وسع نطاق الضحايا بشكل كبير، واختلاف صيغ ملفات الألعاب يعتمد على محرك اللعبة، وإذا محرك اللعبة مافيش عنده أمان كافي، المهاجمين يقدروا يضيفوا برمجيات خبيثة تشتغل بمجرد ما المستخدم يضغط على زر التشغيل.
التعليقات