Korsan oyunlar ve yazılımlar üzerinde RenEngine yükleyicisi tespit edildi
Kaspersky Tehdit Araştırma ekibi, son dönemde kamuoyunun dikkatini çeken bir kötü amaçlı yazılım yükleyicisi olan RenEngine’e ilişkin analizini yayımladı.
Kaspersky Tehdit Araştırma ekibi, son dönemde kamuoyunun dikkatini çeken bir kötü amaçlı yazılım yükleyicisi olan RenEngine’e ilişkin analizini yayımladı.
Kaspersky, RenEngine örneklerini ilk kez Mart 2025’te tespit ettiğini ve o tarihten bu yana güvenlik çözümlerinin kullanıcıları söz konusu tehdide karşı koruma altına aldığını açıkladı.
Son raporlarda öne çıkan korsan oyunların ötesine geçenKaspersky araştırmacıları, saldırganların RenEngine’i dağıtmak amacıylaaralarında CorelDRAW gibi grafik düzenleme yazılımlarının da bulunduğu korsanyazılımlar sunan onlarca web sitesi oluşturduğunu belirledi. Bu durum, saldırıyüzeyinin yalnızca oyuncu topluluğuyla sınırlı kalmadığını; lisanssız yazılımarayan tüm kullanıcıları kapsayacak şekilde genişlediğini ortaya koyuyor.
Kaspersky; Rusya, Brezilya, Türkiye, İspanya ve Almanyadahil olmak üzere çeşitli ülkelerde olay kaydetti. Dağıtım modeli, hedeflioperasyonlardan ziyade fırsatçı saldırı yaklaşımına işaret ediyor.
REN’PYTABANLI SAHTE OYUNLAR ÜZERİNDEN ÇOK AŞAMALI ZARARLI YAZILIM DAĞITIMI
Kaspersky’nin RenEngine’i ilk tespit ettiği dönemde sözkonusu zararlı yazılım, Lumma Stealer adlı bilgi hırsızını dağıtıyordu. Güncelsaldırılarda ise nihai yük olarak ACR Stealer’ın dağıtıldığı, bazı enfeksiyonzincirlerinde ise Vidar Stealer’ın da yer aldığı gözlemlendi.
Kampanya, Ren’Py görsel roman motoru üzerine inşa edilmişoyunların değiştirilmiş sürümlerini istismar ediyor. Kullanıcılar enfekteyükleyicileri çalıştırdığında, arka planda kötü amaçlı komut dosyalarıyürütülürken sahte bir yükleme ekranı görüntüleniyor. Bu komut dosyaları, sanalortam (sandbox) tespit yetenekleri sahip. Süreçte, modüler bir kötü amaçlıyazılım dağıtım aracı olan HijackLoader kullanılıyor.
“POTANSİYELKURBAN HAVUZU CİDDİ ÖLÇÜDE BÜYÜYOR”
Kaspersky Tehdit Araştırmaları Kıdemli Zararlı YazılımAnalisti Pavel Sinenko, konuya ilişkin şu açıklamalarda bulundu: "Butehdit sadece korsan oyunlarla sınırlı değil; saldırganlar aynı tekniklecrack'li verimlilik yazılımlarını da hedef alıyor. Bu da potansiyel kurbanhavuzunu ciddi ölçüde büyütüyor. Oyun arşiv formatları motorlara ve oyununadına göre değişiklik gösterir. Eğer bir motor kendi kaynaklarının bütünlüğünükontrol etmiyorsa, saldırganlar 'oynat' butonuna bastığınız anda devreyegirecek zararlı yazılımları sisteme kolayca yerleştirebilir."
Kaspersky çözümleri RenEngine’i Trojan.Python.Agent.nb ve HEUR:Trojan.Python.Agent.genolarak; HijackLoader’ı ise Trojan.Win32.Penguish ve Trojan.Win32.DllHijackerolarak tespit ediyor.
GERÇEKBEDEL GÜVENLİĞİNİZ OLMASIN
Kaspersky, oyun ve yazılımların yalnızca resmi ve güvenilirkaynaklardan indirilmesi gerektiğini vurguluyor. Korsan içeriklerin, kötüamaçlı yazılımların en yaygın dağıtım kanallarından biri olduğuna dikkatçekiliyor.
Şirket, güvenilir bir güvenlik çözümü olarak KasperskyPremium’un Davranışsal Tespit (Behavior Detection) bileşeni sayesinde meşruyazılım gibi gizlenen tehditleri, zararlı faaliyetleri üzerinden tespitedebildiğini ve RenEngine benzeri tehditlere karşı koruma sağladığınıbelirtiyor.
Ayrıca bilinen güvenlik açıklarının kapatılması içinişletim sistemi ve uygulamaların güncel tutulması öneriliyor. Kullanıcıların“ücretsiz” tekliflere karşı temkinli olması gerektiği hatırlatılırken, ücretlibir oyun ya da yazılımın resmi olmayan platformlarda ücretsiz sunulmasınınciddi güvenlik riskleri barındırabileceği ifade ediliyor.
Kaynak: Ensonhaber Haber Merkezi
