يتواصل انتشار البرمجيات الخبيثة عبر الألعاب المقرصنة والتطبيقات غير المرخصة، فيما يواصل مجرمو الإنترنت استغلال رغبة المستخدمين في الحصول على محتوى مجاني. وتستغل حملة جديدة محركات ألعاب الروايات المرئية لنشر برمجيات تجسس متطورة، مما يشكل تحدياً جديداً في مجال الأمن السيبراني.
تستفيد هذه الحملة من رغبة المستخدمين في الوصول إلى محتوى مدفوع مجاناً، حيث يسهل ذلك على المهاجمين تجاوز شكوك المستخدم الأولية وتقديم تهديدات معقدة مباشرة إلى الأجهزة الشخصية. وتعتمد الحملة على تقنية تحميل متطورة مخبأة داخل مشغلات ألعاب معدلة لتنفيذ عملية إصابة متعددة المراحل دون تنبيه الضحية.
تقوم هذه البرمجيات الخبيثة باستغلال بنية محركات ألعاب الروايات المرئية، مثل Ren’Py، لجعل الملفات الضارة تبدو وكأنها مكونات شرعية للعبة. غالباً ما يتم توجيه المستخدمين الذين يحاولون تنزيل هذه الحزم المصابة عبر عدة مواقع قبل الوصول إلى خدمة استضافة الملفات.
بمجرد قيام المستخدم بتشغيل الملف الذي تم تنزيله، تبدأ البرمجية الخبيثة عملها تحت ستار شاشة تحميل قياسية، مما يخفي بفعالية النشاط الضار الذي يحدث خلف الكواليس. يمثل هذا الأسلوب تحدياً كبيراً في اكتشاف التهديدات.
حملة RenEngine تستهدف المستخدمين ببرامج تجسس جديدة
حدد محللو Securelist البرمجية الخبيثة بأنها RenEngine، وهي عائلة تحميلات مميزة نشطة منذ مارس 2025. وبينما كانت الإصدارات السابقة تستخدم بشكل أساسي لتوزيع Lumma stealer، تكشف الحوادث الأخيرة عن تحديث المهاجمين لمجموعة أدواتهم لتوزيع ACR Stealer.
يُظهر هذا التطور مرونة الجهات الفاعلة في التهديدات، والتي وسعت نطاق أهدافها لتشمل المستخدمين الذين يبحثون عن برامج رسومات مقرصنة وأدوات إنتاجية أخرى. تم تصميم برامج التجسس هذه لاستخراج كلمات المرور، ومحافظ العملات المشفرة، وملفات تعريف الارتباط للجلسات من جهاز الضحية.
كانت التأثيرات لهذه الحملة كبيرة، مع تسجيل حوادث نشطة واسعة النطاق في بلدان متعددة بما في ذلك روسيا والبرازيل وإسبانيا. يتيح استخدام برنامج تحميل معياري للمهاجمين تخصيص سلسلة الإصابة، مما يجعل من الصعب على حلول الأمان القياسية اكتشاف ومنع التهديد الأولي قبل حدوث الضرر.
آلية الإصابة وتكتيكات التهرب
يكمن التعقيد التقني لـ RenEngine في قدرته على تجنب الاكتشاف أثناء مرحلة التنفيذ الأولية. تبدأ الهجمات ببرامج نصية مكتوبة بلغة Python تحاكي عملية تحميل اللعبة، بينما تقوم في الوقت نفسه بإجراء فحوصات بيئية حاسمة.
تستخدم هذه البرامج النصية وظيفة محددة تسمى is_sandboxed لتحديد ما إذا كان يتم تحليل التعليمات البرمجية بواسطة باحثين أمنيين. إذا تم اعتبار النظام آمناً، تواصل البرمجية الخبيثة استخدام xor_decrypt_file لفك ضغط المرحلة التالية من الحمولة من أرشيف مشفر.
بعد فك التشفير الأولي، تستخدم البرمجية الخبيثة تقنية تعرف باسم اختطاف DLL لتحميل وحدة HijackLoader. من خلال الكتابة فوق ذاكرة مكتبة نظام شرعية، وتحديداً dbghelp.dll، يمكن للمهاجمين حقن تعليمات برمجية ضارة في عملية موثوقة.
تسمح هذه الطريقة لبرنامج التحميل بفك تشفير وإطلاق الحمولة النهائية، مثل Lumma أو ACR Stealer، داخل مساحة ذاكرة عملية نظام مثل explorer.exe. يضمن هذا الحقن السلس استمرار عمل البرمجية الخبيثة على الجهاز المصاب، وجمع بيانات المستخدم الحساسة للغاية مع البقاء مخفياً عن الأنظار.