كشف فريق أبحاث التهديدات في "كاسبرسكي" عن تطور خطير في سلوك برمجية التحميل الخبيثة "RenEngine"، التي لم تعد تستهدف فقط مستخدمي الألعاب المقرصنة، بل امتدت لتشمل الباحثين عن نسخ غير شرعية من برامج احترافية مثل CorelDRAW.
أوضح الباحثون أنهم رصدوا هذه البرمجية لأول مرة في مارس 2025، وأن حلول "كاسبرسكي" الأمنية كانت تحمي المستخدمين منها منذ ذلك الحين. لكن اللافت هو إنشاء المهاجمين لعشرات المواقع الإلكترونية لنشر RenEngine عبر حزم برامج مقرصنة، مما وسع دائرة الضحايا المحتملين بشكل كبير.
سلسلة الهجمات هذه شوهدت في عدة دول منها روسيا، البرازيل، تركيا، إسبانيا وألمانيا. ويشير نمط الانتشار إلى أن الهجمات عشوائية وانتهازية، ولا تستهدف جهات محددة بدقة عالية.
في البداية، كانت RenEngine تُستخدم لتوزيع برمجية السرقة الخبيثة "Lumma"، ولكن في الموجة الحالية، تم رصد استخدامها لنشر "ACR Stealer"، مع ظهور برمجية "Vidar" في بعض سلاسل العدوى كحمولة نهائية. وتعتمد الحملة على تعديل ألعاب مبنية على محرك القصص المرئية Ren'Py.
عند تشغيل أداة التثبيت المصابة، تظهر للمستخدم شاشة تحميل وهمية بينما تعمل النصوص البرمجية الخبيثة في الخلفية. هذه النصوص قادرة على اكتشاف بيئات العزل (Sandbox) ثم فك تشفير حمولة تطلق سلسلة إصابات متتالية عبر أداة "HijackLoader" لتوزيع البرمجيات الضارة.
وفي تعليق له، أكد بافيل سينينكو، كبير محللي البرمجيات الخبيثة، أن التهديد توسع ليشمل برامج الإنتاجية المقرصنة، وليس فقط الألعاب. وأشار إلى أن عدم تحقق محرك اللعبة من سلامة موارده يفتح الباب أمام المهاجمين لتضمين برمجيات خبيثة تُفعَّل بمجرد نقر الضحية على زر التشغيل.