Kaspersky Tehdit Araştırma ekibi, son dönemde kamuoyunun dikkatini çeken bir kötü amaçlı yazılım yükleyicisi olan RenEngine’e ilişkin analizini yayımladı. Kaspersky, RenEngine örneklerini ilk olarak Mart 2025’te tespit ettiğini ve o tarihten itibaren güvenlik çözümlerinin kullanıcıları bu tehdide karşı koruduğunu açıkladı.
Son raporlarda öne çıkan korsan oyunların ötesine geçen Kaspersky araştırmacıları, saldırganların RenEngine’i dağıtmak amacıyla aralarında CorelDRAW gibi grafik düzenleme yazılımlarının da bulunduğu korsan yazılımlar sunan onlarca web sitesi oluşturduğunu belirledi. Bu durum, saldırı yüzeyinin yalnızca oyuncu topluluğuyla sınırlı kalmadığını; lisanssız yazılım arayan tüm kullanıcıları kapsayacak şekilde genişlediğini ortaya koyuyor.
Kaspersky, Rusya, Brezilya, Türkiye, İspanya ve Almanya dahil olmak üzere çeşitli ülkelerde olay kaydetti. Dağıtım modeli, hedefli operasyonlardan ziyade fırsatçı saldırı yaklaşımına işaret ediyor.
Kaspersky’nin RenEngine’i ilk tespit ettiği dönemde söz konusu zararlı yazılım, Lumma Stealer adlı bilgi hırsızını dağıtıyordu. Güncel saldırılarda ise nihai yük olarak ACR Stealer’ın dağıtıldığı, bazı enfeksiyon zincirlerinde ise Vidar Stealer’ın da yer aldığı gözlemlendi.
Kampanya, Ren’Py görsel roman motoru üzerine inşa edilmiş oyunların değiştirilmiş sürümlerini istismar ediyor. Kullanıcılar enfekte yükleyicileri çalıştırdığında, arka planda kötü amaçlı komut dosyaları yürütülürken sahte bir yükleme ekranı görüntüleniyor. Bu komut dosyaları, sanal ortam (sandbox) tespit yetenekleri sahip. Süreçte, modüler bir kötü amaçlı yazılım dağıtım aracı olan HijackLoader kullanılıyor.
Kaspersky Tehdit Araştırmaları Kıdemli Zararlı Yazılım Analisti Pavel Sinenko, konuya ilişkin şu açıklamalarda bulundu: “Bu tehdit sadece korsan oyunlarla sınırlı değil; saldırganlar aynı teknikle crack’li verimlilik yazılımlarını da hedef alıyor. Bu da potansiyel kurban havuzunu ciddi ölçüde büyütüyor. Oyun arşiv formatları motorlara ve oyunun adına göre değişiklik gösterir. Eğer bir motor kendi kaynaklarının bütünlüğünü kontrol etmiyorsa, saldırganlar ‘oynat’ butonuna bastığınız anda devreye girecek zararlı yazılımları sisteme kolayca yerleştirebilir.”
Kaspersky çözümleri RenEngine’i Trojan.Python.Agent.nb ve HEUR:Trojan.Python.Agent.gen olarak; HijackLoader’ı ise Trojan.Win32.Penguish ve Trojan.Win32.DllHijacker olarak tespit ediyor.
Kaspersky, kullanıcıların korunması için şu önerilerde bulunuyor:
- Oyun ve yazılımları yalnızca resmi kaynaklardan indirin. Korsan içerikler, kötü amaçlı yazılımların en yaygın dağıtım yöntemlerinden biri olmaya devam ediyor.
- Güvenilir bir güvenlik çözümü kullanın. Kaspersky Premium, Davranışsal Tespit (Behavior Detection) bileşeni sayesinde, meşru yazılım gibi gizlenen tehditleri dahi zararlı faaliyetleri üzerinden tespit ederek RenEngine benzeri tehditlere karşı koruma sağlar.
- Bilinen güvenlik açıklarının kapatılması için işletim sistemi ve uygulamalarınızı güncel tutun.
- “Ücretsiz” tekliflere temkinli yaklaşın. Ücretli bir oyun veya yazılım, resmi olmayan bir sitede ücretsiz olarak sunuluyorsa, gerçek bedel büyük olasılıkla güvenliğiniz olacaktır.
Kaynak: (BYZHA) Beyaz Haber Ajansı
