RenEngine yükleyicisi, oyunların yasa dışı kopyaları aracılığıyla yayılırken 400 000 bilgisayarı enfekte etti

Kiber tehditler: RenEngine virüs yükleyicisi 400 000'den fazla PC'yi hedef aldı

Siber güvenlik uzmanları, dünya çapında Windows işletim sistemine sahip dört yüz bin bilgisayarı aşılamış olabileceği tahmin edilen yeni bir kötü amaçlı yazılım paketi – RenEngine loader’ı keşfetti. Virüs, PC için popüler oyunların korsan kopyalarıyla birlikte dağıtılıyor.

Nasıl tespit edildi ve nasıl yayıldı
- Cyderes araştırmacıları, *Far Cry*, *Need for Speed*, *FIFA* ve *Assassin’s Creed* gibi serilerin yasa dışı dağıtımlarında tehdidi buldu.
- Kötü amaçlı yazılım, “doğru” Ren’Py oyun kurulum dosyalarına sızarak *RenEngine loader* adını aldı.
- En az geçen yılın Nisan ayından beri var ve aktif durumda. Ekim ayında büyük bir güncelleme geçirdi: her başlatmada sabit bir adrese bağlanan bir telemetri modülü eklendi.

Enfeksiyon ölçeği
- Araştırmacı verilerine göre, 400 000'den fazla makine zaten etkilendi.
- Her gün kötü amaçlı yazılım 4 000 ila 10 000 yeni kurban kaydediyor.
- En yoğun bölgeler Hindistan, ABD, Brezilya ve Rusya.
- Etkilenmiş oyunlar, daha önce başka siber kampanyalarda kullanılan tek bir site üzerinden indiriliyor.

RenEngine loader ne yapar
1. ARC veri hırsızlama programını kurar: tarayıcı şifrelerini, çerezleri, kripto cüzdan verilerini ve otomatik doldurma bilgilerini, sistem bilgilerini ve panoya kopyalanan içeriği toplar.
2. Yükleyici aracılığıyla ek yükler dağıtılır: Rhadamanthys, Async RAT ve Xworm – hepsi veri hırsızlığı ve uzaktan bilgisayar yönetimi için tasarlanmıştır.

Antivirüs koruması ve tepkisi
- Saldırının erken aşamalarında yalnızca Avast, AVG ve Cynet RenEngine loader’ı tanıyor.
- Diğer durumlarda bulaşma şüphesi olduğunda Windows kurtarma araçlarını kullanmak veya sistemi tamamen yeniden kurmak önerilir.

Sonuç: RenEngine virüs yükleyici, korsan oyunlar aracılığıyla dünya çapında bilgisayarları aktif olarak enfekte etmeye devam ediyor; kişisel verileri topluyor ve saldırganlara uzaktan erişim sağlıyor. Kullanıcıların antivirüslerini en son sürüme güncellemeleri ve şüpheli kaynaklardan oyun indirmemeleri gerekir.