Un popular motor de juegos de código abierto llamado Godot Engine está siendo mal utilizado como parte de un nuevo Dioscargador campaña de malware, que infectó más de 17.000 sistemas desde al menos junio de 2024.
“Los ciberdelincuentes han estado aprovechando Godot Engine para ejecutar código GDScript diseñado que activa comandos maliciosos y entrega malware”, dijo Check Point en un nuevo análisis publicado el miércoles. “La técnica pasa desapercibida para casi todos los motores antivirus de VirusTotal.”
No sorprende que los actores de amenazas estén constantemente buscando nuevas herramientas y técnicas que puedan ayudarlos a distribuir malware mientras eluden la detección por parte de los controles de seguridad, incluso cuando los defensores continúan levantando nuevas barreras de seguridad.
La incorporación más reciente es Godot Engine, una plataforma de desarrollo de juegos que permite a los usuarios diseñar juegos 2D y 3D en todas las plataformas, incluidas Windows, macOS, Linux, Android, iOS, PlayStation, Xbox, Nintendo Switch y la web.
El soporte multiplataforma también lo convierte en una herramienta atractiva en manos de adversarios que ahora pueden aprovecharlo para apuntar e infectar dispositivos a escala, ampliando efectivamente la superficie de ataque.
“La flexibilidad del motor Godot lo ha convertido en un objetivo para los ciberdelincuentes, permitiendo que el malware multiplataforma como GodLoader se propague rápidamente explotando la confianza en las plataformas de código abierto”, dijo Eli Smadja, gerente del grupo de investigación de seguridad de Check Point Software Technologies, en una declaración compartida con The Hacker News.
“La flexibilidad del motor Godot lo ha convertido en un objetivo para los ciberdelincuentes, permitiendo que el malware multiplataforma sigiloso como GodLoader se propague rápidamente explotando la confianza en las plataformas de código abierto. Para los 1,2 millones de usuarios de juegos desarrollados por Godot, las implicaciones son profundas: – no sólo para sus dispositivos sino para la integridad del ecosistema de juegos en sí. Esta es una llamada de atención para que la industria priorice medidas de ciberseguridad proactivas y multiplataforma para mantenerse a la vanguardia de esta alarmante tendencia”.
Lo que hace que la campaña se destaque es que aprovecha Stargazers Ghost Network (en este caso, un conjunto de alrededor de 200 repositorios de GitHub y más de 225 cuentas falsas) como vector de distribución para GodLoader.
“Estas cuentas han estado protagonizadas por repositorios maliciosos que distribuyen GodLoader, haciéndolos parecer legítimos y seguros”, dijo Check Point. “Los repositorios se lanzaron en cuatro oleadas separadas, dirigidas principalmente a desarrolladores, jugadores y usuarios en general”.
Se descubrió que los ataques, observados el 12 de septiembre, el 14 de septiembre, el 29 de septiembre y el 3 de octubre de 2024, emplean ejecutables de Godot Engine, también conocidos como archivos pack (o .PCK), para eliminar el malware del cargador, que luego es responsable. para descargar y ejecutar cargas útiles de etapa final, como RedLine Stealer y el minero de criptomonedas XMRig desde un repositorio de Bitbucket.
Además, el cargador incorpora funciones para evitar el análisis en entornos virtuales y de espacio aislado y agregar toda la unidad C: a la lista de exclusiones de Microsoft Defender Antivirus para evitar la detección de malware.
La compañía de ciberseguridad dijo que los artefactos GodLoader están dirigidos principalmente a máquinas con Windows, aunque señaló que es trivial adaptarlos para infectar sistemas macOS y Linux.
Es más, si bien el conjunto actual de ataques implica que los actores de amenazas creen ejecutables personalizados del motor Godot para la propagación de malware, se podría llevar a un nivel superior manipulando un juego legítimo creado por Godot después de obtener la clave de cifrado simétrica utilizada para extraer el .PCK. archivo.
Sin embargo, este tipo de ataque se puede evitar cambiando a un algoritmo de clave asimétrica (también conocido como criptografía de clave pública) que se basa en un par de claves pública y privada para cifrar/descifrar datos.
En respuesta a los hallazgos, el equipo de seguridad de Godot dijo que Godot Engine es un sistema de programación con un lenguaje de secuencias de comandos y es similar a los tiempos de ejecución de Python y Ruby, instando a los usuarios a asegurarse de que los ejecutables descargados estén firmados por una parte confiable y evitar ejecutar software descifrado. .
“Es posible escribir programas maliciosos en cualquier lenguaje de programación”, señala en un comunicado. “No creemos que Godot sea particularmente más o menos adecuado para hacerlo que otros programas similares.”
La campaña maliciosa sirve como otro recordatorio de cómo los actores de amenazas frecuentemente aprovechan servicios y marcas legítimos para evadir los mecanismos de seguridad, lo que requiere que los usuarios descarguen software solo de fuentes confiables.
“Los actores de amenazas han utilizado las capacidades de scripting de Godot para crear cargadores personalizados que pasan desapercibidos para muchas soluciones de seguridad convencionales”, dijo Check Point. “Dado que la arquitectura de Godot permite la entrega de carga útil independiente de la plataforma, los atacantes pueden implementar fácilmente código malicioso en Windows, Linux y macOS, a veces incluso explorando opciones de Android”.
“La combinación de un método de distribución altamente dirigido y una técnica discreta y no detectada ha dado como resultado tasas de infección excepcionalmente altas. Este enfoque multiplataforma mejora la versatilidad del malware, brindando a los actores de amenazas una herramienta poderosa que puede atacar fácilmente múltiples sistemas operativos. Este método permite a los atacantes entregar malware de manera más efectiva en varios dispositivos, maximizando su alcance e impacto”.