محمل RenEngine، وانتشر عبر نسخ غير قانونية للعب ألعاب، أصاب 400 000 حاسوبًا

تهديدات إلكترونية: فيروس-محمل RenEngine أطلق النار على أكثر من 400,000 حاسوب

كشف خبراء الأمن السيبراني عن حزمة برمجيات خبيثة جديدة – محمل RenEngine، الذي حسب التقديرات أصاب أكثر من أربعمائة ألف جهاز كمبيوتر يعمل بنظام Windows حول العالم. ينتشر الفيروس مع نسخ القرصنة للألعاب الشهيرة للكمبيوتر.

كيف تم اكتشافه وكيف ينشر
- وجد الباحثون في Cyderes تهديدًا في توزيعات غير قانونية لمجموعة مثل *Far Cry*، *Need for Speed*، *FIFA* و *Assassin’s Creed*.
- تُدمج البرمجيات الخبيثة في مثبت الألعاب "الصحيح" Ren’Py، ومن هنا جاء اسمها *RenEngine loader*.
- توجد منذ أبريل العام الماضي وتظل نشطة. في أكتوبر حصلت على تحديث كبير: أضيف وحدة قياس الأداء التي تتصل بعنوان ثابت عند كل تشغيل.

نطاق الإصابة
- وفقًا للباحثين، تم إصابة أكثر من 400,000 جهاز بالفعل.
- يوميًا تسجل البرمجيات الخبيثة بين 4,000 و10,000 ضحية جديدة.
- أعلى تركيز في الهند والولايات المتحدة والبرازيل وروسيا.
- تُحمّل الألعاب المصابة من موقع واحد كان مستخدمًا سابقًا في حملات إلكترونية أخرى.

ما يفعله RenEngine loader
1. يُثبت برنامج سرقة البيانات ARC: يجمع كلمات مرور المتصفح المحفوظة، ملفات تعريف الارتباط، بيانات محافظ العملات المشفرة وتعبئة تلقائية، معلومات النظام ومحتوى الحافظة.
2. عبر المحمل تُنشر حمولة إضافية: Rhadamanthys، Async RAT وXworm – جميعها مخصصة لسرقة البيانات والتحكم عن بُعد في الحاسوب.

الحماية ورد فعل مضادات الفيروسات
- في المراحل المبكرة من الهجوم يكتشف فقط Avast، AVG وCynet RenEngine loader.
- في الحالات الأخرى يُنصح باستخدام أدوات استعادة Windows أو إعادة تثبيت النظام بالكامل عند الاشتباه بالإصابة.

النتيجة: يستمر فيروس-محمل RenEngine في إصابة الحواسيب حول العالم عبر ألعاب القرصنة، يجمع البيانات الشخصية ويمنح المهاجمين وصولًا عن بُعد. يجب على المستخدمين تحديث مضادات الفيروسات إلى أحدث الإصدارات وتجنب تنزيل الألعاب من مصادر مشكوك فيها.