Kaspersky, Korsan Oyunlar ve Yazılımlar Üzerinden Dağıtılan RenEngine Yükleyicisini Tespit Etti

Kaspersky Tehdit Araştırma grubu, son devirde kamuoyunun dikkatini çeken bir berbat emelli yazılım yükleyicisi olan RenEngine’e ait tahlilini yayımladı. Kaspersky, RenEngine örneklerini birinci olarak Mart 2025’te tespit ettiğini ve o tarihten itibaren güvenlik tahlillerinin kullanıcıları bu tehdide karşı koruduğunu açıkladı.

Son raporlarda öne çıkan korsan oyunların ötesine geçen Kaspersky araştırmacıları, saldırganların RenEngine’i dağıtmak gayesiyle ortalarında CorelDRAW üzere grafik düzenleme yazılımlarının da bulunduğu korsan yazılımlar sunan onlarca web sitesi oluşturduğunu belirledi. Bu durum, atak yüzeyinin sadece oyuncu topluluğuyla hudutlu kalmadığını; lisanssız yazılım arayan tüm kullanıcıları kapsayacak biçimde genişlediğini ortaya koyuyor.

Kaspersky, Rusya, Brezilya, Türkiye, İspanya ve Almanya dahil olmak üzere çeşitli ülkelerde olay kaydetti. Dağıtım modeli, gayeli operasyonlardan fazla fırsatçı atak yaklaşımına işaret ediyor.

Kaspersky’nin RenEngine’i birinci tespit ettiği devirde kelam konusu ziyanlı yazılım, Lumma Stealer isimli bilgi hırsızını dağıtıyordu. Aktüel taarruzlarda ise son yük olarak ACR Stealer’ın dağıtıldığı, birtakım enfeksiyon zincirlerinde ise Vidar Stealer’ın da yer aldığı gözlemlendi.

Kampanya, Ren’Py görsel roman motoru üzerine inşa edilmiş oyunların değiştirilmiş sürümlerini istismar ediyor. Kullanıcılar enfekte yükleyicileri çalıştırdığında, art planda berbat gayeli komut evrakları yürütülürken uydurma bir yükleme ekranı görüntüleniyor. Bu komut evrakları, sanal ortam (sandbox) tespit yetenekleri sahip. Süreçte, modüler bir makûs maksatlı yazılım dağıtım aracı olan HijackLoader kullanılıyor.

Kaspersky Tehdit Araştırmaları Kıdemli Ziyanlı Yazılım Analisti Pavel Sinenko, bahse ait şu açıklamalarda bulundu: “Bu tehdit yalnızca korsan oyunlarla hudutlu değil; saldırganlar birebir teknikle crack’li verimlilik yazılımlarını da amaç alıyor. Bu da potansiyel kurban havuzunu önemli ölçüde büyütüyor. Oyun arşiv formatları motorlara ve oyunun ismine nazaran değişiklik ortaya koyar. Şayet bir motor kendi kaynaklarının bütünlüğünü denetim etmiyorsa, saldırganlar ‘oynat’ butonuna bastığınız anda devreye girecek ziyanlı yazılımları sisteme kolay kolay yerleştirebilir.”

Kaspersky tahlilleri RenEngine’i Trojan.Python.Agent.nb ve HEUR:Trojan.Python.Agent.gen olarak; HijackLoader’ı ise Trojan.Win32.Penguish ve Trojan.Win32.DllHijacker olarak tespit ediyor.

Kaspersky, kullanıcıların korunması için şu tekliflerde bulunuyor:

• Oyun ve yazılımları sırf resmi kaynaklardan indirin. Korsan içerikler, berbat maksatlı yazılımların en yaygın dağıtım tekniklerinden biri olmaya devam ediyor.
• Güvenilir bir güvenlik tahlili kullanın. Kaspersky Premium, Davranışsal Tespit (Behavior Detection) bileşeni sayesinde, legal yazılım üzere gizlenen tehditleri dahi ziyanlı faaliyetleri üzerinden tespit ederek RenEngine gibisi tehditlere karşı muhafaza sağlar.
• Bilinen güvenlik açıklarının kapatılması için işletim sistemi ve uygulamalarınızı aktüel tutun.
• “Ücretsiz” tekliflere temkinli yaklaşın. Fiyatlı bir oyun yahut yazılım, resmi olmayan bir sitede fiyatsız olarak sunuluyorsa, gerçek bedel büyük olasılıkla güvenliğiniz olacaktır.

Kaynak: (BYZHA) Beyaz Haber Ajansı