Programari maliciós GodLoader
El popular motor Godot de codi obert, una eina àmpliament utilitzada per desenvolupar jocs en 2D i 3D, s'ha convertit en la peça central d'una nova amenaça cibernètica coneguda com la campanya GodLoader. Des d'almenys el juny de 2024, aquesta campanya amenaçadora ha compromès més de 17.000 sistemes mitjançant l'explotació de les capacitats d'escriptura de la plataforma per executar codi nociu.
Taula de continguts
Una eina de confiança convertida en vector d’amenaça
La versatilitat de Godot Engine, que admet el desenvolupament a Windows, macOS, Linux, Android, iOS i consoles de joc importants, també l'ha convertit en una eina atractiva per als ciberdelinqüents. Aprofitant la flexibilitat de Godot, els atacants incrusten codi GDScript corrupte en executables personalitzats per llançar programari maliciós, obviant gairebé tots els mecanismes de detecció antimalware. Aquesta campanya destaca com les eines de codi obert de confiança es poden armar contra els seus usuaris.
Per als 1,2 milions d'individus que interactuen amb jocs creats amb Godot, les implicacions s'estenen més enllà de la seguretat del dispositiu personal fins a danys potencials a l'ecosistema de jocs més ampli. Subratlla la urgència que els desenvolupadors i la indústria adoptin mesures proactives de ciberseguretat a totes les plataformes.
Com funciona GodLoader: una estratègia de distribució multifacètica
El que diferencia aquesta campanya és el seu ús sofisticat de GitHub com a vector de distribució. Els atacants utilitzen Stargazers Ghost Network, que inclou aproximadament 200 repositoris GitHub i més de 225 comptes fraudulents. Aquests comptes "estelan" els dipòsits fraudulents, fent-los semblar legítims per als usuaris desprevinguts.
La campanya ha avançat en quatre onades diferents (el 12 de setembre, el 14 de setembre, el 29 de setembre i el 3 d'octubre de 2024) dirigides a desenvolupadors, jugadors i usuaris generals. Durant cada atac, els executables de Godot Engine (fitxers .PCK) es despleguen per instal·lar el programari maliciós GodLoader. A continuació, aquest carregador recupera les càrregues útils finals, com ara RedLine Stealer i el miner de criptomoneda XMRig , d'un dipòsit de Bitbucket.
Tàctiques d’evasió avançades: detecció d’esquivar
L'èxit de GodLoader s'atribueix a les seves tècniques d'evasió avançades. Evita l'anàlisi de l'entorn virtual i la caixa de sorra, desactivant de manera efectiva la detecció en entorns de seguretat controlats. A més, el programari maliciós manipula Microsoft Defender Antivirus afegint tota la unitat C:\ a la llista d'exclusió, assegurant que les seves activitats no es detectin als sistemes infectats.
Tot i que la campanya actual està dirigida a dispositius Windows, els investigadors adverteixen que es podria adaptar fàcilment als sistemes macOS i Linux. L'arquitectura agnòstica de la plataforma de Godot permet als atacants desenvolupar càrregues útils per a diversos sistemes operatius, augmentant significativament l'abast i l'impacte de la campanya.
Potencial de major explotació
Els atacants han utilitzat principalment executables Godot personalitzats per propagar programari maliciós. Tanmateix, els investigadors adverteixen d'una amenaça encara més gran: la manipulació dels jocs legítims creats per Godot. En obtenir la clau de xifratge simètrica que s'utilitza per extreure fitxers PCK, els cibercriminals podrien manipular fitxers de jocs autèntics per oferir càrregues útils malicioses.
El canvi a la criptografia de clau asimètrica, on s'utilitzen parells de claus públiques i privades per al xifratge i el desxifrat, podria mitigar aquests riscos. Aquest enfocament dificultaria substancialment als atacants comprometre el programari legítim.
Resposta de l’equip de seguretat de Godot
A la llum d'aquestes troballes, l'equip de seguretat de Godot va destacar la importància de descarregar executables només de fonts de confiança. Van instar els usuaris a assegurar-se que els fitxers estan signats per una entitat de bona reputació i evitar utilitzar programari trencat o no verificat. Tot i que qualsevol llenguatge de programació es pot utilitzar per crear programari maliciós, les capacitats de programació de Godot no són ni més ni menys susceptibles a l'abús en comparació amb plataformes similars com Python o Ruby.
Implicacions més àmplies: confiança i vigilància
La campanya GodLoader exemplifica com els atacants exploten plataformes legítimes per evitar els controls de seguretat i distribuir programari amenaçador. Amb l'arquitectura de Godot que permet el lliurament de càrrega útil independent de la plataforma, els ciberdelinqüents poden orientar de manera eficient els dispositius en diversos sistemes operatius, inclosos Windows, Linux i macOS.
La combinació de la campanya d'una xarxa de distribució molt orientada i mecanismes de lliurament sigilosos ha donat lloc a infeccions generalitzades, cosa que la converteix en una eina formidable a l'arsenal dels atacants. Aquesta situació és un recordatori per als usuaris que tinguin precaució i que baixin programari només de fonts verificades.
Crida per una ciberseguretat més forta
A mesura que la campanya GodLoader continua desenvolupant-se, serveix com a crida d'atenció per al desenvolupament de programari i les indústries dels jocs. Les mesures de seguretat sòlides, les eines de detecció d'amenaces multiplataforma i els avenços en el xifratge són essencials per mitigar aquests riscos. En prioritzar la ciberseguretat en totes les etapes, des del desenvolupament fins al desplegament, la indústria pot reduir la probabilitat que amenaces similars mincin la confiança i la seguretat dels seus usuaris.
