Kaspersky, RenEngine örneklerini ilk kez Mart 2025’te tespit ettiğini ve o tarihten bu yana güvenlik çözümlerinin kullanıcıları söz konusu tehdide karşı koruma altına aldığını açıkladı.
Son raporlarda öne çıkan korsan oyunların ötesine geçen
Kaspersky araştırmacıları, saldırganların RenEngine’i dağıtmak amacıyla
aralarında CorelDRAW gibi grafik düzenleme yazılımlarının da bulunduğu korsan
yazılımlar sunan onlarca web sitesi oluşturduğunu belirledi. Bu durum, saldırı
yüzeyinin yalnızca oyuncu topluluğuyla sınırlı kalmadığını; lisanssız yazılım
arayan tüm kullanıcıları kapsayacak şekilde genişlediğini ortaya koyuyor.
Kaspersky; Rusya, Brezilya, Türkiye, İspanya ve Almanya
dahil olmak üzere çeşitli ülkelerde olay kaydetti. Dağıtım modeli, hedefli
operasyonlardan ziyade fırsatçı saldırı yaklaşımına işaret ediyor.
REN’PY
TABANLI SAHTE OYUNLAR ÜZERİNDEN ÇOK AŞAMALI ZARARLI YAZILIM DAĞITIMI
Kaspersky’nin RenEngine’i ilk tespit ettiği dönemde söz
konusu zararlı yazılım, Lumma Stealer adlı bilgi hırsızını dağıtıyordu. Güncel
saldırılarda ise nihai yük olarak ACR Stealer’ın dağıtıldığı, bazı enfeksiyon
zincirlerinde ise Vidar Stealer’ın da yer aldığı gözlemlendi.
Kampanya, Ren’Py görsel roman motoru üzerine inşa edilmiş
oyunların değiştirilmiş sürümlerini istismar ediyor. Kullanıcılar enfekte
yükleyicileri çalıştırdığında, arka planda kötü amaçlı komut dosyaları
yürütülürken sahte bir yükleme ekranı görüntüleniyor. Bu komut dosyaları, sanal
ortam (sandbox) tespit yetenekleri sahip. Süreçte, modüler bir kötü amaçlı
yazılım dağıtım aracı olan HijackLoader kullanılıyor.
“POTANSİYEL
KURBAN HAVUZU CİDDİ ÖLÇÜDE BÜYÜYOR”
Kaspersky Tehdit Araştırmaları Kıdemli Zararlı Yazılım
Analisti Pavel Sinenko, konuya ilişkin şu açıklamalarda bulundu: “Bu
tehdit sadece korsan oyunlarla sınırlı değil; saldırganlar aynı teknikle
crack’li verimlilik yazılımlarını da hedef alıyor. Bu da potansiyel kurban
havuzunu ciddi ölçüde büyütüyor. Oyun arşiv formatları motorlara ve oyunun
adına göre değişiklik gösterir. Eğer bir motor kendi kaynaklarının bütünlüğünü
kontrol etmiyorsa, saldırganlar ‘oynat’ butonuna bastığınız anda devreye
girecek zararlı yazılımları sisteme kolayca yerleştirebilir.”
Kaspersky çözümleri RenEngine’i Trojan.Python.Agent.nb ve HEUR:Trojan.Python.Agent.gen
olarak; HijackLoader’ı ise Trojan.Win32.Penguish ve Trojan.Win32.DllHijacker
olarak tespit ediyor.
GERÇEK
BEDEL GÜVENLİĞİNİZ OLMASIN
Kaspersky, oyun ve yazılımların yalnızca resmi ve güvenilir
kaynaklardan indirilmesi gerektiğini vurguluyor. Korsan içeriklerin, kötü
amaçlı yazılımların en yaygın dağıtım kanallarından biri olduğuna dikkat
çekiliyor.
Şirket, güvenilir bir güvenlik çözümü olarak Kaspersky
Premium’un Davranışsal Tespit (Behavior Detection) bileşeni sayesinde meşru
yazılım gibi gizlenen tehditleri, zararlı faaliyetleri üzerinden tespit
edebildiğini ve RenEngine benzeri tehditlere karşı koruma sağladığını
belirtiyor.
Ayrıca bilinen güvenlik açıklarının kapatılması için
işletim sistemi ve uygulamaların güncel tutulması öneriliyor. Kullanıcıların
“ücretsiz” tekliflere karşı temkinli olması gerektiği hatırlatılırken, ücretli
bir oyun ya da yazılımın resmi olmayan platformlarda ücretsiz sunulmasının
ciddi güvenlik riskleri barındırabileceği ifade ediliyor.
Kaynak: Ensonhaber Haber Merkezi