Korsan oyunlardaki siber tehdit

Son raporlarda öne çıkan korsan oyunların ötesine geçen Kaspersky araştırmacıları, saldırganların RenEngine’i dağıtmak amacıyla aralarında CorelDRAW gibi grafik düzenleme yazılımlarının da bulunduğu korsan yazılımlar sunan onlarca web sitesi oluşturduğunu belirledi. Bu durum, saldırı yüzeyinin yalnızca iştirakçi topluluğuyla sınırlı kalmadığını; lisanssız yazılım arayan tüm kullanıcıları kapsayacak şekilde genişlediğini ortaya koyuyor.

Siber güvenlik şirketi, Rusya, Brezilya, Türkiye, İspanya ve Almanya karışmış bulunmak üzere çeşitli ülkelerde hadise kaydetti. Dağıtım modeli, hedefli operasyonlardan ziyade fırsatçı saldırı yaklaşımına işaret ediyor.

"YALNIZCA KORSAN OYUNLARLA SINIRLI DEĞİL"

Kaspersky’nin RenEngine’i birinci belirleme ettiği dönemde söz başlıksu zararlı yazılım, Lumma Stealer adlı malumat hırsızını dağıtıyordu. Güncel saldırılarda ise nihai olarak yük olarak ACR Stealer’ın dağıtıldığı, bazı bulaşma zincirlerinde ise Vidar Stealer’ın da mekan aldığı gözlemlendi.

Kampanya, Ren’Py görsel yepyeni motoru üzerine inşa edilmiş oyunların değiştirilmiş sürümlerini istismar ediyor. Kullanıcılar enfekte yükleyicileri çalıştırdığında, arka planda kötü amaçlı komut dosyaları yürütülürken sahte tek yükleme ekranı görüntüleniyor. Bu komut dosyaları, sanal ortam (sandbox) belirleme yetenekleri sahip. Süreçte, modüler tek kötü amaçlı yazılım dağıtım aracı olan HijackLoader kullanılıyor.

Kaspersky Tehdit Araştırmaları Kıdemli Zararlı Yazılım Analisti Pavel Sinenko, başlıkya ilişkin şu açıklamalarda bulundu: "Bu tehditleri yalınce korsan oyunlarla sınırlı değil; saldırganlar aynı teknikle crack'li randıman yazılımlarını da hedefleri alıyor. Bu da gizilgüç kurbanlar havuzunu vahim ölçüde büyütüyor. Oyun arşiv formatları motorlara ve oyunun adına göre değişiklik gösterir. Eğer tek motorlar öz kaynaklarının bütünlüğünü denetim etmiyorsa, saldırganlar 'oynat' butonuna bastığınız anda devreye girecek zararlı yazılımları sisteme basitca yerleştirebilir."