كاسبرسكي تحذر: برمجية خبيثة تنتشر عبر الألعاب والبرامج المقرصنة
كشف قسم أبحاث التهديدات لدى كاسبرسكي عن تحليله لبرمجية RenEngine، وهي برمجية تحميل خبيثة جذبت اهتمامًا كبيرًا مؤخرًا حيث اكتشف الباحثون أنّ المهاجمين أنشأوا عشرات المواقع الإلكترونية التي تنشر برمجية RenEngine عبر برمجيات مقرصنة مثل برمجية CorelDRAW لتحرير الرسوميات وهذا يوسع نطاق الهجوم ليشمل الأشخاص الباحثين عن نسخ البرمجيات غير المرخصة، فلا يقتصر خطره على مجتمع اللاعبين.
وتم رصد هجمات في روسيا، والبرازيل، وتركيا، وإسبانيا، وألمانيا، ودول أخرى ويشير نمط الانتشار إلى أنّ هذه الهجمات انتهازية تستغل الفرص عشوائيًا، ولا تندرج ضمن العمليات الموجهة بدقة نحو أهداف معينة.
وعندما تم رصد برمجية RenEngine لأول مرة، كانت توزع برمجية السرقة الخبيثة Lumma. أما الهجمات الحالية فتوزع برمجية ACR Stealer الخبيثة كحمولة نهائية، كما رُصدت برمجية السرقة Vidar في بعض سلاسل العدوى.
وتستغل تلك الحملة الخبيثة إصداراتٍ معدلةً من الألعاب مبنيةً على محرك Ren'Py للقصص المرئية. فعندما يشغل المستخدمون أداة التثبيت المصابة بالبرمجية الخبيثة، تظهر أمامهم شاشة تحميل وهمية بينما تعمل النصوص البرمجية الخبيثة في الخلفية.
وتتضمن هذه النصوص البرمجية قدرات اكتشاف بيئة التجربة المعزولة (Sandbox)، وتفك تشفير ملف حمولة يطلق سلسلة إصابات متتابعة باستخدام HijackLoader، وهي أداة قابلة للتخصيص توزع البرمجيات الخبيثة.
وقال بافيل سينينكو، كبير محللي البرمجيات الخبيثة لدى قسم أبحاث التهديدات في كاسبرسكي لا يقتصر هذا التهديد على الألعاب المقرصنة وحدها، إذ يتبع المهاجمون الأسلوب نفسه لنشر البرمجيات الخبيثة عبر برامج الإنتاجية المقرصنة، مما وسع نطاق الضحايا كثيرًا وتختلف صيغ ملفات الألعاب وفقًا لمحرك اللعبة وعنوانها. فإذا لم يتحقق محرك اللعبة من سلامة موارده، يستطيع المهاجمون تضمين برمجيات خبيثة تعمل حالما ينقر الضحية على زر التشغيل.
