يُستخدم مُثبّتو الألعاب المقرصنة مجددًا كقناة لتوصيل برمجيات سرقة بيانات الاعتماد، لكن الموجة الأخيرة تضيف لمسة غير معتادة تتمثل في إخفاء الشيفرة الخبيثة خلف مُشغّل ألعاب Ren’Py.
المُشغّل، الذي يُعرف الآن باسم RenEngine، يأتي مُعبأً مع حزم الألعاب والمُعدّلات التي تبدو طبيعية وتعمل كما هو متوقع، بينما يُجهّز في صمت للمرحلة التالية من سلسلة الهجوم.
يُعدّ هذا الهجوم نشطًا منذ أبريل 2025 على الأقل وما زال مستمرًا، وقد وصل إلى ما يُقدّر بـ 400 ألف ضحية حول العالم.
تشير البيانات التي راجعها الباحثون إلى وجود حوالي 5000 إصابة جديدة يوميًا، مع تركيز مرتفع في الهند والولايات المتحدة والبرازيل.
هذا الحجم مهم لأن الإغراء الأولي يعتمد على الثقة الاجتماعية داخل مجتمعات القرصنة بدلاً من استغلال ثغرة أمنية في البرمجيات، مما يجعل من الصعب إيقافه بالإصلاحات وحدها.
آلية عمل RenEngine Loader في الهجمات السيبرانية
لاحظ باحثو Cyderes هذه البرمجية الخبيثة بعد اكتشاف منطق خبيث مُضمن في ما بدا أنه مُشغّل Ren’Py شرعي.
في الحالات نفسها، قاموا أيضًا بتحليل نسخة جديدة من HijackLoader التي تأتي مع وحدات إضافية لمكافحة التحليل، بما في ذلك فحوصات لوحدات معالجة الرسومات، وأسماء الأجهزة الافتراضية، وعناوين MAC المرتبطة بالآلات الافتراضية.
يشكل RenEngine و HijackLoader معًا إعدادًا مزدوجًا للمُشغّل يساعد المشغلين على تبديل الحمولات بسرعة مع تغير الدفاعات.
يبدأ التنفيذ النموذجي عندما يقوم المستخدم بتشغيل المثبت المقرصن، ثم يقوم RenEngine بفك تشفير وإطلاق المرحلة الثانية.
يتم إدخال HijackLoader بعد ذلك من خلال تحميل DLL جانبي وتشفيه الوحدات، وتتمثل الحمولة النهائية الملحوظة في هذه السلسلة في ACR Stealer.
تم تصميم ACR Stealer لجمع كلمات مرور المتصفح وملفات تعريف الارتباط، وبيانات المحافظ الرقمية، وتفاصيل النظام الأخرى، ثم إرسالها إلى البنية التحتية للمهاجمين. كما قامت بعض السلاسل بتسليم أدوات سرقة أخرى، مثل Vidar.
آلية العدوى داخل Ren’Py
تبدأ العدوى في مجلد اللعبة، حيث يكون Instaler.exe مُشغل Ren’Py حقيقيًا ولكنه يُساء استخدامه لتشغيل نص برمجي مُترجم من ملف archive.rpa.
يقوم الإنشاء بتجريد ملفات .rpy العادية وترك ملفات .rpyc فقط، مما يقلل من الرؤية أثناء عمليات المسح.
.webp.jpeg)
بعد ذلك، يقرأ RenEngine ملف .key محلي، ويقوم بفك ترميزه باستخدام Base64 إلى JSON، ويستخدم قيمة كلمة المرور لفك تشفير XOR لأرشيف مُضمن قبل تشغيل الملف التنفيذي التالي.
.webp.png)
عند تمكين فحوصات البيئة الافتراضية (sandbox)، يقوم المُشغّل بتقييم البيئة ويخرج بصمت إذا اعتقد أنه يعمل في آلة افتراضية.
للدفاع، يجب التعامل مع مُثبتات الألعاب المقرصنة والمُعدّلات كمصادر خطر عالية وحظرها حيثما أمكن.
يجب مراقبة مُشغّلات Ren’Py وهي تقوم بفك ضغط محتوى RPA، وعمليات التشفير باستخدام Base64/XOR، وفحوصات الآلات الافتراضية القوية، ثم ربط ذلك بتحميل DLL المشبوه وحركة مرور سرقة بيانات الاعتماد المفاجئة عبر نقاط النهاية.
تابعنا على Google News، LinkedIn، و X للحصول على المزيد من التحديثات الفورية، واجعل CSN مصدرك المفضل في Google.
