بدافزار GodLoader

موتور منبع باز محبوب Godot Engine، ابزاری که به طور گسترده برای توسعه بازی های دو بعدی و سه بعدی استفاده می شود، به مرکز یک تهدید سایبری جدید به نام کمپین GodLoader تبدیل شده است. حداقل از ژوئن 2024، این کمپین تهدیدآمیز بیش از 17000 سیستم را با بهره‌برداری از قابلیت‌های اسکریپت‌نویسی پلتفرم برای اجرای کدهای مضر به خطر انداخته است.

ابزار قابل اعتماد تبدیل شده بردار تهدید

تطبیق پذیری Godot Engine، پشتیبانی از توسعه در ویندوز، macOS، Linux، Android، iOS و کنسول های بازی قابل توجه، آن را به ابزاری جذاب برای مجرمان سایبری نیز تبدیل کرده است. مهاجمان با استفاده از انعطاف‌پذیری گودو، کد GDScript خراب را در فایل‌های اجرایی سفارشی جاسازی می‌کنند تا بدافزار را راه‌اندازی کنند و تقریباً همه مکانیسم‌های شناسایی ضد بدافزار را دور بزنند. این کمپین نشان می‌دهد که چگونه ابزارهای منبع باز قابل اعتماد ممکن است علیه کاربرانشان مسلح شوند.

برای 1.2 میلیون فردی که با بازی‌هایی که با استفاده از گودو ساخته شده‌اند تعامل دارند، پیامدها فراتر از امنیت دستگاه شخصی و آسیب احتمالی به اکوسیستم گیمینگ گسترده‌تر است. این امر بر ضرورت اتخاذ تدابیر امنیتی سایبری فعال در سراسر پلتفرم‌ها برای توسعه‌دهندگان و صنعت تاکید می‌کند.

GodLoader چگونه عمل می کند: یک استراتژی توزیع چند وجهی

چیزی که این کمپین را متمایز می کند، استفاده پیچیده آن از GitHub به عنوان یک بردار توزیع است. مهاجمان از شبکه Stargazers Ghost استفاده می کنند که شامل تقریباً 200 مخزن GitHub و بیش از 225 حساب جعلی است. این حساب‌ها مخازن کلاهبردار را ستاره‌دار می‌کنند و آن‌ها را برای کاربران ناآگاه مشروع جلوه می‌دهند.

این کمپین در چهار موج متمایز پیشرفت کرده است - در 12 سپتامبر، 14 سپتامبر، 29 سپتامبر و 3 اکتبر 2024 - توسعه دهندگان، گیمرها و کاربران عمومی را هدف قرار داده است. در طول هر حمله، فایل‌های اجرایی Godot Engine (فایل‌های PCK) برای نصب بدافزار GodLoader مستقر می‌شوند. سپس این لودر بارهای نهایی، مانند RedLine Stealer و استخراج کننده ارز دیجیتال XMRig را از مخزن Bitbucket بازیابی می کند.

تاکتیک های پیشرفته فرار: تشخیص طفره رفتن

موفقیت GodLoader به تکنیک های پیشرفته فرار آن نسبت داده می شود. محیط مجازی و تجزیه و تحلیل سندباکس را دور می زند و به طور موثر تشخیص را در محیط های امنیتی کنترل شده غیرفعال می کند. علاوه بر این، این بدافزار با افزودن کل درایو C:\ به لیست حذف، آنتی ویروس Microsoft Defender را دستکاری می کند و اطمینان حاصل می کند که فعالیت های آن در سیستم های آلوده شناسایی نشده باقی می ماند.

اگرچه کمپین فعلی دستگاه های ویندوزی را هدف قرار می دهد، اما محققان هشدار می دهند که می تواند به راحتی برای سیستم های macOS و Linux سازگار شود. معماری پلتفرم-آگنوستیک گودو مهاجمان را قادر می‌سازد تا بارهای پی‌لود را برای چندین سیستم عامل توسعه دهند و به طور قابل توجهی دامنه و تأثیر کمپین را افزایش دهند.

پتانسیل برای بهره برداری بیشتر

مهاجمان در درجه اول از فایل های اجرایی Godot ساخته شده برای انتشار بدافزار استفاده کرده اند. با این حال، محققان در مورد یک تهدید حتی بزرگتر هشدار می دهند: دستکاری بازی های قانونی ساخته شده توسط گودو. با به دست آوردن کلید رمزگذاری متقارن که برای استخراج فایل‌های PCK استفاده می‌شود، مجرمان سایبری می‌توانند فایل‌های بازی معتبر را برای تحویل بارهای مخرب دستکاری کنند.

تغییر به رمزنگاری با کلید نامتقارن - که در آن از جفت کلیدهای عمومی و خصوصی برای رمزگذاری و رمزگشایی استفاده می شود - می تواند چنین خطراتی را کاهش دهد. این رویکرد کار را برای مهاجمان سخت‌تر می‌کند تا نرم‌افزار قانونی را به خطر بیندازند.

پاسخ تیم امنیتی گودو

با توجه به این یافته‌ها، تیم امنیتی گودو بر اهمیت دانلود فایل‌های اجرایی فقط از منابع قابل اعتماد تاکید کرد. آنها از کاربران خواستند اطمینان حاصل کنند که فایل ها توسط یک نهاد معتبر امضا شده و از استفاده از نرم افزارهای کرک شده یا تایید نشده خودداری کنند. در حالی که هر زبان برنامه نویسی را می توان برای ایجاد نرم افزارهای مخرب استفاده کرد، قابلیت های اسکریپت نویسی گودو در مقایسه با پلتفرم های مشابه مانند پایتون یا روبی نه بیشتر و نه کمتر در معرض سوء استفاده قرار دارند.

پیامدهای گسترده تر: اعتماد و هوشیاری

کمپین GodLoader نشان می دهد که چگونه مهاجمان از پلتفرم های قانونی برای دور زدن کنترل های امنیتی و توزیع نرم افزارهای تهدید کننده سوء استفاده می کنند. با معماری گودو که امکان تحویل محموله مستقل از پلتفرم را فراهم می‌کند، مجرمان سایبری می‌توانند به طور موثر دستگاه‌ها را در سیستم‌عامل‌های مختلف از جمله ویندوز، لینوکس و macOS هدف قرار دهند.

ترکیب کمپین از یک شبکه توزیع بسیار هدفمند و مکانیسم‌های تحویل مخفیانه منجر به عفونت‌های گسترده شده است و آن را به ابزاری قدرتمند در زرادخانه مهاجمان تبدیل کرده است. این وضعیت یادآوری نگران کننده برای کاربران است که احتیاط کنند و نرم افزار را فقط از منابع تأیید شده دانلود کنند.

فراخوان برای امنیت سایبری قوی تر

همانطور که کمپین GodLoader همچنان در حال گسترش است، به عنوان زنگ خطری برای توسعه نرم افزار و صنایع بازی عمل می کند. اقدامات امنیتی قوی، ابزارهای تشخیص تهدید بین پلتفرمی و پیشرفت های رمزگذاری برای کاهش چنین خطراتی ضروری هستند. با اولویت دادن به امنیت سایبری در هر مرحله - از توسعه تا استقرار - این صنعت می تواند احتمال تهدیدات مشابه را کاهش دهد که اعتماد و ایمنی کاربران خود را تضعیف می کند.