Kaspersky'nin son araştırmaları, korsan oyunların ötesinde bir tehdidin varlığını ortaya koydu. Siber suçlular, RenEngine zararlı yazılımını yaymak amacıyla CorelDRAW gibi grafikleri düzenleme araçlarını da içeren birçok korsan yazılım sunan web sitesi geliştirmişlerdir. Bu, sadece oyun meraklılarının değil, aynı zamanda lisanssız yazılım arayan tüm kullanıcıların saldırı riskine maruz kaldığını gösteriyor.
Saldırı Yüzeyinin Genişliği
Son dönemde gerçekleştirilen siber saldırıların kapsamı, özellikle BDT ülkeleri ve Avrupa'da geniş bir yelpazeye yayılmış durumda. Kaspersky, Rusya, Brezilya, Türkiye, İspanya ve Almanya gibi ülkelerde bu tür olayları kaydetmiştir. Saldırganların hedeflediği kitle sadece oyun kullanıcıları değil, aynı zamanda farklı yazılım kullanıcılarını da kapsıyor. Bu durum, siber tehditlerin daha geniş bir kitleyi tehdit ettiğini vurguluyor. Saldırganların uyguladığı yöntemler, yalnızca belirli bir grup üzerinde yoğunlaşmak yerine, fırsatların değerlendirildiği daha geniş bir saldırı stratejisi benimsendiğini gösteriyor. Böylece, olası kurban sayısı artmakta, dolayısıyla güvenlik riskleri de çoğalmaktadır.
RenEngine'in Dağıtımı ve Kullanım Amacı
Kaspersky, RenEngine zararlı yazılımının ilk kez keşfedildiği zaman, Lumma Stealer olarak bilinen bir bilgi hırsızının dağıtımını gerçekleştirdiğini bildirdi. Ancak son araştırmalar, bu zararlı yazılımın güncel versiyonlarının ACR Stealer ile birlikte çeşitli enfeksiyon zincirlerinde Vidar Stealer'ı da içerdiğini göstermektedir. Bunun yanı sıra, zarar veren kampanya, Ren’Py görsel roman motoru temelinde şekillendirilmiş olan oyunların değiştirilmiş sürümlerini hedef almaktadır. Kullanıcılar, bu enfekte olmuş yükleyicileri çalıştırdıklarında, arka planda zararlı komut dosyalarının yürütülmesi sağlanıyor ve kullanıcıya sahte bir yükleme ekranı gösteriliyor. Dolayısıyla, kullanıcılar zararlı yazılımların etkisi altında kalabilmektedirler.
Yüksek Riskli Yükleyiciler ve Tespit Yöntemleri
Yükleyicilerin kullanımı sırasında, sanal ortamları (sandbox) tespit etme yetenekleri olan komut dosyalarının yürütüldüğü unutulmamalıdır. Bu süreçte, kötü amaçlı yazılımın modüler bir dağıtım aracı olarak bilinen HijackLoader kullanılarak yayıldığı gözlemlenmiştir. Siber güvenlik uzmanı Pavel Sinenko, bu tehditlerin yalnızca korsan oyunlarla sınırlı olmadığını, çeşitli crack'lenmiş verimlilik yazılımlarını da hedef aldıklarını açıklamıştır. Bu durum, potansiyel kurban havuzunun da genişlemesine neden olarak ciddi bir tehdit oluşturuyor. Oyun arşiv formatları, kullanılan motorlara ve oyun isimlerine göre değişiklik göstermekte. Eğer bir oyun motoru kaynak bütünlüğünü kontrol etmiyorsa, saldırganlar zararlı yazılımlarını sistemlere entegre edebilir.
