كشف قسم أبحاث التهديدات في كاسبرسكي عن برمجية RenEngine الخبيثة، التي رصدت نسخها الأولى في مارس 2025، وقدمت حلول الشركة الأمنية حماية فعّالة منذ ذلك الحين. وأظهرت التحليلات أن البرمجية الخبيثة لا تقتصر على الألعاب المقرصنة فقط، بل تم توسيع نطاقها ليشمل برامج إنتاجية مثل CorelDRAW، مستهدفة أي مستخدم يبحث عن نسخ غير مرخصة.
نطاق الهجمات وانتشارها العالمي
رصدت كاسبرسكي هجمات برمجية RenEngine في روسيا والبرازيل وتركيا وإسبانيا وألمانيا وعدد من الدول الأخرى. ويشير نمط الانتشار إلى أن الهجمات انتهازية، تستغل الفرص عشوائياً دون استهداف محدد بدقة، ما يجعل أي مستخدم معرضًا للخطر عند تحميل برمجيات مقرصنة.
التغير في الحمولة النهائية للبرمجية
في البداية، كانت RenEngine توزع برمجية Lumma الخبيثة، أما الهجمات الحالية فتنقل برمجية ACR Stealer كحمولة نهائية، كما تم رصد برمجية Vidar ضمن بعض سلاسل العدوى. ويستخدم المهاجمون إصدارات معدلة من الألعاب المبنية على محرك Ren’Py للقصص المرئية، حيث تظهر شاشة تحميل وهمية أثناء تنفيذ البرمجية في الخلفية.
أساليب الهجوم والتقنيات المستخدمة
تتضمن البرمجية قدرات اكتشاف بيئة التجربة المعزولة (Sandbox)، وفك تشفير الحمولة، ثم إطلاق سلسلة إصابات متتابعة باستخدام أداة HijackLoader القابلة للتخصيص. ويشير بافيل سينينكو، كبير محللي البرمجيات الخبيثة في كاسبرسكي، إلى أن المهاجمين يتبعون نفس الأسلوب في نشر البرمجيات الخبيثة عبر برامج الإنتاجية المقرصنة، ما يزيد من عدد الضحايا المحتملين.
تصنيفات الحلول الأمنية
تصنف حلول كاسبرسكي برمجية RenEngine ضمن Trojan.Python.Agent.nb وHEUR:Trojan.Python.Agent.gen، بينما تُصنّف أداة HijackLoader ضمن Trojan.Win32.Penguish وTrojan.Win32.DllHijacker.
توصيات كاسبرسكي للحماية من RenEngine
-
تحميل الألعاب والبرمجيات من المصادر الرسمية حصراً.
-
استخدام حل أمني موثوق مثل Kaspersky Premium لحماية فعالة ضد التهديدات السيبرانية باستخدام ميزة اكتشاف السلوك.
-
تحديث نظام التشغيل والتطبيقات لمعالجة الثغرات الأمنية.
-
توخي الحذر من العروض المجانية غير الرسمية، حيث قد تحمل البرمجيات المقرصنة مخاطر خبيثة.