Kaspersky, korsan oyunlar ve lisanssız yazılımlar aracılığıyla dağıtılan "RenEngine" adlı kötü amaçlı yazılım yükleyicisine ilişkin analiz yayımladı.
Şirketten yapılan açıklamaya göre, Kaspersky tehdit araştırma ekibi RenEngine örneklerini ilk olarak Mart 2025'te tespit etti.
Saldırganlar, RenEngine'i dağıtmak amacıyla aralarında CorelDRAW gibi grafik düzenleme yazılımlarının da bulunduğu korsan içerikleri sunan onlarca internet sitesi oluşturdu. Böylece saldırı yüzeyi yalnızca oyuncu topluluğuyla sınırlı kalmayıp lisanssız yazılım arayan tüm kullanıcıları kapsayacak şekilde genişledi.
Saldırılar, Rusya, Brezilya, Türkiye, İspanya ve Almanya dahil çeşitli ülkelerde kaydedilirken, dağıtım modelinin hedefli operasyonlardan ziyade fırsatçı saldırı yaklaşımına işaret ettiği değerlendiriliyor.
RenEngine'in ilk tespit edildiği dönemde "Lumma Stealer" adlı bilgi hırsızını dağıttığı, güncel saldırılarda ise nihai yük olarak ACR Stealer'ın kullanıldığı belirlendi. Bazı saldırılarda ise Vidar Stealer'ın da yer aldığı gözlemlendi.
Kampanyanın, Ren'Py görsel roman motoru üzerine inşa edilmiş oyunların değiştirilmiş sürümlerini istismar ettiği tespit edildi. Kullanıcılar, enfekte yükleyicileri çalıştırdığında arka planda kötü amaçlı komut dosyalar yürütülürken sahte bir yükleme ekranı görüntüleniyor. Sanal ortam (sandbox) tespit yeteneklerine sahip bu komut dosyaları, süreçte modüler kötü amaçlı bir yazılım dağıtım aracı olan HijackLoader'ı kullanıyor.
Kaspersky çözümleri ise RenEngine'i "Trojan.Python.Agent.nb" ve "HEUR:Trojan.Python.Agent.gen" olarak, HijackLoader'ı ise "Trojan.Win32.Penguish" ve "Trojan.Win32.DllHijacker" olarak tespit ediyor.
- Kullanıcılara uyarılar
Kullanıcıların korunması için oyun ve yazılımların yalnızca resmi kaynaklardan indirilmesi gerektiği uyarısında bulunan Kaspersky araştırmacıları, şu önerilerde bulundu:
"Güvenilir bir güvenlik çözümü kullanın. Kaspersky Premium, Davranışsal Tespit bileşeni sayesinde, meşru yazılım gibi gizlenen tehditleri dahi zararlı faaliyetleri üzerinden tespit ederek RenEngine benzeri tehditlere karşı koruma sağlar. Bilinen güvenlik açıklarının kapatılması için işletim sistemi ve uygulamalarınızı güncel tutun. Ücretsiz tekliflere temkinli yaklaşın. Ücretli bir oyun veya yazılım, resmi olmayan bir sitede ücretsiz olarak sunuluyorsa, gerçek bedel büyük olasılıkla güvenliğiniz olacaktır."
Açıklamada görüşlerine yer verilen Kaspersky Tehdit Araştırmaları Kıdemli Zararlı Yazılım Analisti Pavel Sinenko, bu tehditlerin sadece korsan oyunlarla sınırlı olmadığını, saldırganların aynı teknikle crackli verimlilik yazılımlarını da hedef aldığını belirtti.
Bunun potansiyel kurban havuzunu ciddi ölçüde büyüttüğünü vurgulayan Sinenko, "Oyun arşiv formatları motorlara ve oyunun adına göre değişiklik gösterir. Eğer bir motor kendi kaynaklarının bütünlüğünü kontrol etmiyorsa, saldırganlar 'oynat' butonuna bastığınız anda devreye girecek zararlı yazılımları sisteme kolayca yerleştirebilir." ifadelerini kullandı.
