Cybercriminelen maken misbruik van de populaire game-engine Godot om platformonafhankelijke malware te verspreiden

Een populaire open-source game-engine genaamd Godot Engine wordt misbruikt als onderdeel van een nieuwe GodLoader malwarecampagne, die sinds ten minste juni 2024 meer dan 17.000 systemen heeft geïnfecteerd.

“Cybercriminelen hebben misbruik gemaakt van Godot Engine om vervaardigde GDScript-code uit te voeren die kwaadaardige commando’s activeert en malware aflevert”, aldus Check Point in een nieuwe analyse die woensdag is gepubliceerd. “De techniek blijft onopgemerkt door vrijwel alle antivirus-engines in VirusTotal.”

Het is geen verrassing dat bedreigingsactoren voortdurend op zoek zijn naar nieuwe tools en technieken die hen kunnen helpen malware te verspreiden en tegelijkertijd detectie door beveiligingscontroles te omzeilen, zelfs terwijl verdedigers nieuwe vangrails blijven oprichten.

De nieuwste toevoeging is Godot Engine, een game-ontwikkelingsplatform waarmee gebruikers 2D- en 3D-games kunnen ontwerpen op verschillende platforms, waaronder Windows, macOS, Linux, Android, iOS, PlayStation, Xbox, Nintendo Switch en internet.

De ondersteuning voor meerdere platforms maakt het ook een aantrekkelijk instrument in de handen van tegenstanders die het nu kunnen gebruiken om apparaten op grote schaal te targeten en te infecteren, waardoor het aanvalsoppervlak effectief wordt vergroot.

Wat de campagne opvalt, is dat deze gebruik maakt van het Stargazers Ghost Network – in dit geval een set van ongeveer 200 GitHub-repository’s en meer dan 225 nep-accounts – als distributievector voor GodLoader.

“Deze accounts zijn de hoofdrolspelers in de kwaadaardige opslagplaatsen die GodLoader verspreiden, waardoor ze legitiem en veilig lijken”, aldus Check Point. “De repositories zijn in vier afzonderlijke golven uitgebracht, voornamelijk gericht op ontwikkelaars, gamers en algemene gebruikers.”

Bij de aanvallen, waargenomen op 12 september, 14 september, 29 september en 3 oktober 2024, is gebleken dat er gebruik wordt gemaakt van uitvoerbare bestanden van Godot Engine, ook bekend als pack- (of .PCK)-bestanden, om de loader-malware te verwijderen, die vervolgens verantwoordelijk is voor het downloaden en uitvoeren van payloads in de laatste fase, zoals RedLine Stealer en de XMRig cryptocurrency miner vanuit een Bitbucket-repository.

Malware voor meerdere platforms

Bovendien bevat de lader functies om analyse in sandbox- en virtuele omgevingen te omzeilen en de volledige C:-schijf toe te voegen aan de Microsoft Defender Antivirus-uitsluitingslijst om de detectie van malware te voorkomen.

Het cyberbeveiligingsbedrijf zei dat GodLoader-artefacten voornamelijk gericht zijn op Windows-machines, hoewel het opmerkte dat het triviaal is om ze aan te passen om macOS- en Linux-systemen te infecteren.

Bovendien, hoewel de huidige reeks aanvallen inhoudt dat de bedreigingsactoren aangepaste Godot Engine-uitvoerbare bestanden bouwen voor de verspreiding van malware, kan deze nog een tandje hoger worden gezet door te knoeien met een legitiem door Godot gebouwd spel na het verkrijgen van de symmetrische encryptiesleutel die wordt gebruikt om de .PCK te extraheren. bestand.

Dit soort aanvallen kan echter worden afgewend door over te stappen op een asymmetrisch sleutelalgoritme (ook wel public-key cryptografie genoemd) dat afhankelijk is van een publiek en een privé sleutelpaar om gegevens te versleutelen/ontsleutelen.

De kwaadaardige campagne herinnert ons er nog eens aan hoe bedreigingsactoren vaak gebruik maken van legitieme diensten en merken om beveiligingsmechanismen te omzeilen, waardoor gebruikers alleen software moeten downloaden van vertrouwde bronnen.

“Bedreigingsactoren hebben de scriptmogelijkheden van Godot gebruikt om aangepaste laders te maken die onopgemerkt blijven door veel conventionele beveiligingsoplossingen”, aldus Check Point. “Aangezien de architectuur van Godot platform-onafhankelijke payload-levering mogelijk maakt, kunnen aanvallers gemakkelijk kwaadaardige code inzetten op Windows, Linux en macOS, en soms zelfs Android-opties verkennen.”

“De combinatie van een zeer gerichte distributiemethode en een discrete, onopgemerkte techniek heeft geresulteerd in uitzonderlijk hoge infectiepercentages. Deze platformonafhankelijke aanpak vergroot de veelzijdigheid van malware, waardoor bedreigingsactoren een krachtig hulpmiddel krijgen dat zich gemakkelijk op meerdere besturingssystemen kan richten. Deze methode stelt aanvallers in staat om aanvallen uit te voeren malware effectiever op verschillende apparaten, waardoor hun bereik en impact worden gemaximaliseerd.”

Thijs Van der Does