Malware GodLoader
Il famoso Godot Engine open source, uno strumento ampiamente utilizzato per lo sviluppo di giochi 2D e 3D, è diventato il fulcro di una nuova minaccia informatica nota come campagna GodLoader. Da almeno giugno 2024, questa minacciosa campagna ha compromesso oltre 17.000 sistemi sfruttando le capacità di scripting della piattaforma per eseguire codice dannoso.
Sommario
Uno strumento affidabile trasformato in vettore di minaccia
La versatilità di Godot Engine, che supporta lo sviluppo su Windows, macOS, Linux, Android, iOS e importanti console di gioco, lo ha reso anche uno strumento interessante per i criminali informatici. Sfruttando la flessibilità di Godot, gli aggressori stanno incorporando codice GDScript corrotto in eseguibili personalizzati per lanciare malware, bypassando quasi tutti i meccanismi di rilevamento anti-malware. Questa campagna evidenzia come strumenti open source affidabili possano essere usati come armi contro i loro utenti.
Per 1,2 milioni di individui che interagiscono con i giochi creati usando Godot, le implicazioni vanno oltre la sicurezza dei dispositivi personali, fino a potenziali danni all'ecosistema di gioco più ampio. Ciò sottolinea l'urgenza per gli sviluppatori e il settore di adottare misure di sicurezza informatica proattive su tutte le piattaforme.
Come funziona GodLoader: una strategia di distribuzione multiforme
Ciò che distingue questa campagna è il suo uso sofisticato di GitHub come vettore di distribuzione. Gli aggressori utilizzano Stargazers Ghost Network, che include circa 200 repository GitHub e oltre 225 account fraudolenti. Questi account 'segnano' i repository fraudolenti, facendoli apparire legittimi agli utenti ignari.
La campagna è progredita in quattro ondate distinte, il 12 settembre, il 14 settembre, il 29 settembre e il 3 ottobre 2024, prendendo di mira sviluppatori, giocatori e utenti generici. Durante ogni attacco, gli eseguibili Godot Engine (file .PCK) vengono distribuiti per installare il malware GodLoader. Questo loader recupera quindi i payload finali, come RedLine Stealer e il miner di criptovalute XMRig , da un repository Bitbucket.
Tattiche di evasione avanzate: schivare il rilevamento
Il successo di GodLoader è attribuito alle sue tecniche di evasione avanzate. Ignora l'ambiente virtuale e l'analisi sandbox, disabilitando efficacemente il rilevamento in ambienti di sicurezza controllati. Inoltre, il malware manipola Microsoft Defender Antivirus aggiungendo l'intera unità C:\ all'elenco di esclusione, assicurando che le sue attività rimangano inosservate sui sistemi infetti.
Sebbene la campagna attuale sia rivolta ai dispositivi Windows, i ricercatori avvertono che potrebbe essere facilmente adattata ai sistemi macOS e Linux. L'architettura indipendente dalla piattaforma di Godot consente agli aggressori di sviluppare payload per più sistemi operativi, aumentando significativamente la portata e l'impatto della campagna.
Potenziale per un maggiore sfruttamento
Gli aggressori hanno utilizzato principalmente eseguibili Godot personalizzati per propagare malware. Tuttavia, i ricercatori mettono in guardia da una minaccia ancora più grande: la manomissione di giochi legittimi creati da Godot. Ottenendo la chiave di crittografia simmetrica utilizzata per estrarre i file PCK, i criminali informatici potrebbero manipolare file di gioco autentici per distribuire payload dannosi.
Passare alla crittografia a chiave asimmetrica, in cui coppie di chiavi pubbliche e private vengono utilizzate per la crittografia e la decrittografia, potrebbe mitigare tali rischi. Questo approccio renderebbe sostanzialmente più difficile per gli aggressori compromettere software legittimo.
La risposta del team di sicurezza di Godot
Alla luce di queste scoperte, il Godot Security Team ha sottolineato l'importanza di scaricare eseguibili solo da fonti attendibili. Ha esortato gli utenti ad assicurarsi che i file siano firmati da un'entità affidabile ed evitare di utilizzare software crackati o non verificati. Mentre qualsiasi linguaggio di programmazione può essere utilizzato per creare software dannoso, le capacità di scripting di Godot non sono né più né meno suscettibili di abuso rispetto a piattaforme simili come Python o Ruby.
Implicazioni più ampie: fiducia e vigilanza
La campagna GodLoader esemplifica come gli aggressori sfruttano piattaforme legittime per aggirare i controlli di sicurezza e distribuire software minacciosi. Con l'architettura di Godot che consente la distribuzione di payload indipendente dalla piattaforma, i criminali informatici possono prendere di mira in modo efficiente i dispositivi su vari sistemi operativi, tra cui Windows, Linux e macOS.
La combinazione della campagna di una rete di distribuzione altamente mirata e di meccanismi di consegna furtivi ha portato a infezioni diffuse, rendendola uno strumento formidabile nell'arsenale degli aggressori. Questa situazione è un promemoria serio per gli utenti di usare cautela e scaricare software solo da fonti verificate.
La richiesta di una sicurezza informatica più forte
Mentre la campagna GodLoader continua a svolgersi, funge da campanello d'allarme per i settori dello sviluppo software e dei giochi. Misure di sicurezza robuste, strumenti di rilevamento delle minacce multipiattaforma e progressi nella crittografia sono essenziali per mitigare tali rischi. Dando priorità alla sicurezza informatica in ogni fase, dallo sviluppo all'implementazione, il settore può ridurre la probabilità che minacce simili minino la fiducia e la sicurezza dei suoi utenti.
