Kaspersky'den Kritik Uyarı: Korsan İçerikler Üzerinden Yayılan Kötü Amaçlı Yazılım
Kaspersky Tehdit Araştırma ekibi, son dönemde kamuoyunun dikkatini çeken ve korsan oyunlar ile yazılımlar aracılığıyla dağıtılan RenEngine adlı kötü amaçlı yazılım yükleyicisine ilişkin kapsamlı bir analiz yayımladı. Şirket, bu tehdidi ilk olarak Mart 2025 tarihinde tespit ettiğini ve o tarihten bu yana güvenlik çözümlerinin kullanıcıları bu tehdide karşı aktif olarak koruduğunu açıkladı.
Saldırı Yüzeyi Genişliyor: Sadece Oyunlar Değil
Son raporlara göre, Kaspersky araştırmacıları saldırganların RenEngine'i dağıtmak için onlarca web sitesi oluşturduğunu belirledi. Bu siteler, aralarında CorelDRAW gibi popüler grafik düzenleme yazılımlarının da bulunduğu korsan yazılımlar sunuyor. Bu durum, saldırının yalnızca oyuncu topluluğuyla sınırlı kalmadığını, lisanssız yazılım arayan tüm kullanıcıları kapsayacak şekilde genişlediğini ortaya koyuyor.
Siber güvenlik şirketi, Rusya, Brezilya, Türkiye, İspanya ve Almanya dahil olmak üzere çeşitli ülkelerde olay kaydetti. Dağıtım modeli, hedefli operasyonlardan ziyade fırsatçı bir saldırı yaklaşımına işaret ediyor.
Tehdidin Detayları ve Dağıtım Mekanizması
Kaspersky'nin RenEngine'i ilk tespit ettiği dönemde, söz konusu zararlı yazılım Lumma Stealer adlı bilgi hırsızını dağıtıyordu. Güncel saldırılarda ise nihai yük olarak ACR Stealer'ın dağıtıldığı, bazı enfeksiyon zincirlerinde ise Vidar Stealer'ın da yer aldığı gözlemlendi.
Kampanya, Ren'Py görsel roman motoru üzerine inşa edilmiş oyunların değiştirilmiş sürümlerini istismar ediyor. Kullanıcılar enfekte yükleyicileri çalıştırdığında, arka planda kötü amaçlı komut dosyaları yürütülürken sahte bir yükleme ekranı görüntüleniyor. Bu komut dosyalarının sanal ortam (sandbox) tespit yetenekleri bulunuyor. Süreçte, modüler bir kötü amaçlı yazılım dağıtım aracı olan HijackLoader kullanılıyor.
Uzman Görüşü: Potansiyel Kurban Havuzu Büyüyor
Kaspersky Tehdit Araştırmaları Kıdemli Zararlı Yazılım Analisti Pavel Sinenko, konuya ilişkin önemli açıklamalarda bulundu:
"Bu tehdit sadece korsan oyunlarla sınırlı değil; saldırganlar aynı teknikle crack'li verimlilik yazılımlarını da hedef alıyor. Bu da potansiyel kurban havuzunu ciddi ölçüde büyütüyor. Oyun arşiv formatları motorlara ve oyunun adına göre değişiklik gösterir. Eğer bir motor kendi kaynaklarının bütünlüğünü kontrol etmiyorsa, saldırganlar 'oynat' butonuna bastığınız anda devreye girecek zararlı yazılımları sisteme kolayca yerleştirebilir."
Bu açıklama, korsan içerik kullanımının siber güvenlik risklerini ne kadar artırdığını bir kez daha gözler önüne seriyor. Kullanıcıların lisanslı yazılımları tercih etmeleri ve güncel güvenlik çözümleri kullanmaları büyük önem taşıyor.
