Kaspersky Tehdit Araştırma ekibi, kamuoyunun dikkatini çeken kütüphaneler arasında yer alan RenEngine hakkında kapsamlı bir analiz gerçekleştirdi. Kaspersky, RenEngine örneklerinin ilk olarak Mart 2023'te tespit edildiğini ve o tarihten itibaren güvenlik çözümlerinin kullanıcıları bu tehdide karşı koruduğunu açıkladı. RenEngine, kötü amaçlı yazılımlar ile ilişkilendirilen bir yükleyici olarak tanımlanıyor.
Son raporlar, Kaspersky araştırmacılarının, korsan oyunların yanı sıra grafik düzenleme yazılımlarını sunan onlarca web sitesi aracılığıyla RenEngine'nin dağıtıldığını ortaya koyuyor. Bu durum, saldırıların yalnızca oyuncu topluluğuyla sınırlı kalmadığını; lisanssız yazılımlar arayan tüm kullanıcıları hedef alacak şekilde genişlediğini gösteriyor. Kaspersky, Rusya, Brezilya, Türkiye, İspanya ve Almanya gibi çeşitli ülkelerde bu tehditlere dair olayların kaydedildiğini belirtiyor. Dağıtım modeli ise hedefli operasyonlar yerine fırsatçı bir saldırı yaklaşımını işaret ediyor.
Kaspersky'nin RenEngine'i ilk tespit ettiği dönemde, bahsedilen kötü amaçlı yazılım 'Lumma Stealer' adındaki bilgi hırsızını da dağıtıyordu. Güncel saldırılarda ise nihai yük olarak 'ACR Stealer'ın dağıtıldığı ve bazı enfeksiyon zincirlerinde 'Vidar Stealer'ın yer aldığı gözlemlenmiştir. Bu kampanya, 'Ren' oyun motoru üzerine inşa edilmiş oyunların değiştirilmesi suretiyle yürütülüyor. Kullanıcılar, enfekte yükleyicileri çalıştırdıklarında, arka planda kötü niyetli komut dosyaları yürütülüyor ve sahte bir yükleme ekranı görüntüleniyor.
Bu komut dosyaları, sanal ortam (sandbox) tespit yeteneklerine sahip. Söz konusu modüller, kötü amaçlı yazılımların dağıtımında kullanıldığı gözlemlenen HijackLoader'u da barındırıyor. Kaspersky Tehdit Araştırmaları Kıdemli Zararlık Yazılım Analisti Pavel Sinenko, bu tehditin yalnızca korsan oyunlarla sınırlı kalmadığını vurgulayarak, "Saldırganlar aynı teknikle cracked (kırılmış) verimlilik yazılımlarını da hedef alıyor. Bu da potansiyel kurban havuzunu ciddi ölçüde büyütüyor," dedi.
Kaspersky, RenEngine'i 'Trojan.Python.Agent.nb' ve 'HEUR:Trojan.Python.Agent.gen' gibi isimlerle tanımlarken, HijackLoader'u ise 'Trojan.Win32.Penguish' ve 'Trojan.Win32.DllHijacker' olarak sınıflandırıyor. Kullanıcıları korumak için çeşitli önerilerde bulunan Kaspersky, öncelikle oyun ve yazılımlarının yalnızca resmi kaynaklardan indirilmesini tavsiye ediyor. Ayrıca, güvenilir bir güvenlik yazılımı kullanmanın da önemli olduğunu vurguluyor.
Kaspersky Premium'un, Davranışsal Tespit (Behavior Detection) bileşeni sayesinde, meşru yazılımlar gibi gizlenen tehditleri zararlı faaliyetler üzerinden tespit ederek RenEngine benzeri tehditlere karşı koruma sağladığı belirtiliyor. Kullanıcıların bilinen güvenlik açıklarının kapatılması için işletim sistemleri ve uygulamalarını güncel tutmaları gerektiği de öneriliyor. Ücretsiz tekliflere yaklaşımda dikkatli olunması gerektiği vurgulanıyor; zira ücretsiz olarak sunulan bir oyun veya yazılımın arkasında ciddi bir güvenlik riski bulunabilir.
