Kaspersky Tehdit Araştırma ekibi, son dönemde kamuoyunun dikkatini çeken bir kötü
amaçlı yazılım yükleyicisi olan RenEngine'e ilişkin analizini yayımladı. Kaspersky,
RenEngine örneklerini ilk olarak Mart 2025'te tespit ettiğini ve o tarihten
itibaren güvenlik çözümlerinin kullanıcıları bu tehdide karşı koruduğunu açıkladı.

Son raporlarda öne çıkan korsan oyunların ötesine geçen Kaspersky araştırmacıları,
saldırganların RenEngine'i dağıtmak amacıyla aralarında CorelDRAW gibi grafik
düzenleme yazılımlarının da bulunduğu korsan yazılımlar sunan onlarca web sitesi
oluşturduğunu belirledi. Bu durum, saldırı yüzeyinin yalnızca oyuncu topluluğuyla
sınırlı kalmadığını, lisanssız yazılım arayan tüm kullanıcıları kapsayacak
şekilde genişlediğini ortaya koyuyor.

Kaspersky, Rusya, Brezilya, Türkiye, İspanya ve Almanya dahil olmak üzere çeşitli
ülkelerde olay kaydetti. Dağıtım modeli, hedefli operasyonlardan ziyade fırsatçı
saldırı yaklaşımına işaret ediyor.

Kaspersky'nin RenEngine'i ilk tespit ettiği dönemde söz konusu zararlı yazılım,
Lumma Stealer adlı bilgi hırsızını dağıtıyordu. Güncel saldırılarda ise nihai yük
olarak ACR Stealer'ın dağıtıldığı, bazı enfeksiyon zincirlerinde ise Vidar Stealer'ın
da yer aldığı gözlemlendi.

Kampanya, Ren'Py görsel roman motoru üzerine inşa edilmiş oyunların değiştirilmiş
sürümlerini istismar ediyor. Kullanıcılar enfekte yükleyicileri çalıştırdığında,
arka planda kötü amaçlı komut dosyaları yürütülürken sahte bir yükleme ekranı
görüntüleniyor. Bu komut dosyaları, sanal ortam (sandbox) tespit yetenekleri
sahip. Süreçte, modüler bir kötü amaçlı yazılım dağıtım aracı olan HijackLoader
kullanılıyor.

Kaspersky Tehdit Araştırmaları Kıdemli Zararlı Yazılım Analisti Pavel Sinenko, konuya
ilişkin şu açıklamalarda bulundu: Bu tehdit sadece korsan oyunlarla sınırlı
değil, saldırganlar aynı teknikle crack'li verimlilik yazılımlarını da hedef
alıyor. Bu da potansiyel kurban havuzunu ciddi ölçüde büyütüyor. Oyun arşiv formatları
motorlara ve oyunun adına göre değişiklik gösterir. Eğer bir motor kendi
kaynaklarının bütünlüğünü kontrol etmiyorsa, saldırganlar 'oynat' butonuna
bastığınız anda devreye girecek zararlı yazılımları sisteme kolayca yerleştirebilir.

Kaspersky çözümleri RenEngine'i Trojan.Python.Agent.nb ve HEUR:Trojan.Python.Agent.gen
olarak, HijackLoader'ı ise Trojan.Win32.Penguish ve Trojan.Win32.DllHijacker
olarak tespit ediyor.

Kaspersky, kullanıcıların korunması için şu önerilerde bulunuyor:
- Oyun ve yazılımları yalnızca resmi kaynaklardan indirin. Korsan içerikler, kötü
amaçlı yazılımların en yaygın dağıtım yöntemlerinden biri olmaya devam ediyor.
- Güvenilir bir güvenlik çözümü kullanın. Kaspersky Premium, Davranışsal Tespit
(Behavior Detection) bileşeni sayesinde, meşru yazılım gibi gizlenen tehditleri
dahi zararlı faaliyetleri üzerinden tespit ederek RenEngine benzeri tehditlere
karşı koruma sağlar.
- Bilinen güvenlik açıklarının kapatılması için işletim sistemi ve uygulamalarınızı
güncel tutun.
- Ücretsiz tekliflere temkinli yaklaşın. Ücretli bir oyun veya yazılım, resmi
olmayan bir sitede ücretsiz olarak sunuluyorsa, gerçek bedel büyük olasılıkla güvenliğiniz
olacaktır.



-iDeal Haber Merkezi-
- twitter.com/iDealDataHaber // www.idealdata.com.tr -