Korsan oyunlarda RenEngine zararlısı tespit edildi

Son raporlarda öne çıkan korsan oyunların ötesine geçen güvenlik araştırmacıları, saldırganların RenEnginei dağıtmak amacıyla aralarında CorelDRAW gibi grafik düzenleme yazılımlarının da bulunduğu korsan yazılımlar sunan onlarca web sitesi oluşturduğunu belirledi.

Bu durum, saldırı yüzeyinin yalnızca oyuncu topluluğuyla sınırlı kalmadığını; lisanssız yazılım arayan tüm kullanıcıları kapsayacak şekilde genişlediğini ortaya koyuyor.Güvenlik uzmanları, Rusya, Brezilya, Türkiye, İspanya ve Almanya dahil olmak üzere çeşitli ülkelerde olay kaydetti.

Dağıtım modeli, hedefli operasyonlardan ziyade fırsatçı saldırı yaklaşımına işaret ediyor.RenEnginei ilk tespit ettiği dönemde söz konusu zararlı yazılım, Lumma Stealer adlı bilgi hırsızını dağıtıyordu.

Güncel saldırılarda ise nihai yük olarak ACR Stealerın dağıtıldığı, bazı enfeksiyon zincirlerinde ise Vidar Stealerın da yer aldığı gözlemlendi.Kampanya, RenPy görsel roman motoru üzerine inşa edilmiş oyunların değiştirilmiş sürümlerini istismar ediyor.

Kullanıcılar enfekte yükleyicileri çalıştırdığında, arka planda kötü amaçlı komut dosyaları yürütülürken sahte bir yükleme ekranı görüntüleniyor.

Bu komut dosyaları, sanal ortam (sandbox) tespit yetenekleri sahip.

Süreçte, modüler bir kötü amaçlı yazılım dağıtım aracı olan HijackLoader kullanılıyor.