Campanha maliciosa INFECTA sistemas
28 de Novembro de 2024

Um popular motor de jogos de código aberto, chamado Godot Engine, está sendo utilizado de maneira indevida como parte de uma nova campanha de malware denominada GodLoader, infectando mais de 17.000 sistemas desde pelo menos junho de 2024.


"Cibercriminosos têm aproveitado o Godot Engine para executar códigos GDScript elaborados que acionam comandos maliciosos e entregam malware", afirmou a Check Point em uma nova análise.

"A técnica permanece não detectada pela quase totalidade dos motores antivírus no VirusTotal."

Não é surpreendente que os atores de ameaças estejam constantemente em busca de novas ferramentas e técnicas que possam ajudá-los a entregar malware enquanto evitam a detecção por controles de segurança, mesmo conforme os defensores continuam a erigir novas barreiras.

A mais recente adição é o Godot Engine, uma plataforma de desenvolvimento de jogos que permite aos usuários desenhar jogos 2D e 3D em várias plataformas, incluindo Windows, macOS, Linux, Android, iOS, PlayStation, Xbox, Nintendo Switch e a web.

O suporte multiplataforma também o torna um instrumento atrativo nas mãos dos adversários que agora podem usá-lo para mirar e infectar dispositivos em larga escala, ampliando efetivamente a superfície de ataque.

O que faz com que a campanha se destaque é que ela aproveita a Stargazers Ghost Network — neste caso, um conjunto de cerca de 200 repositórios no GitHub e mais de 225 contas falsas — como um vetor de distribuição para o GodLoader.

"Essas contas têm marcado com estrela os repositórios maliciosos que distribuem o GodLoader, fazendo com que pareçam legítimos e seguros", disse a Check Point.

Os repositórios foram lançados em quatro ondas separadas, visando principalmente desenvolvedores, gamers e usuários em geral.

Os ataques, observados em 12 de setembro, 14 de setembro, 29 de setembro e 3 de outubro de 2024, foram encontrados utilizando executáveis do Godot Engine, também conhecidos como arquivos pack (ou .PCK), para soltar o malware loader, que é então responsável por baixar e executar payloads finais como RedLine Stealer e o minerador de criptomoedas XMRig de um repositório no Bitbucket.

Além disso, o loader incorpora recursos para burlar a análise em ambientes sandbox e virtuais e adiciona todo o drive C:\ à lista de exclusões do Microsoft Defender Antivirus para evitar a detecção de malware.

A empresa de cibersegurança disse que os artefatos do GodLoader são primeiramente voltados para mirar máquinas Windows, embora tenha observado que é trivial adaptá-los para infectar sistemas macOS e Linux.

O que é mais, enquanto o conjunto atual de ataques envolve os atores de ameaça construindo executáveis customizados do Godot Engine para propagação de malware, isso pode ser levado a um nível mais alto por meio da adulteração de um jogo legítimo construído no Godot após obter a chave de criptografia simétrica usada para extrair o arquivo .PCK.

Esse tipo de ataque, no entanto, pode ser evitado ao mudar para um algoritmo de chave assimétrica (também conhecida como criptografia de chave pública) que depende de um par de chaves pública e privada para criptografar/descriptografar dados.

A campanha maliciosa serve como mais um lembrete de como os atores de ameaças frequentemente utilizam serviços e marcas legítimas para evadir mecanismos de segurança, necessitando que os usuários baixem softwares apenas de fontes confiáveis.

"Ator de ameaças utilizaram as capacidades de script do Godot para criar loaders customizados que permanecem não detectados por muitas soluções de segurança convencionais", disse a Check Point.

Dado que a arquitetura do Godot permite a entrega de payloads independentes de plataforma, os atacantes podem facilmente implantar código malicioso no Windows, Linux e macOS, explorando às vezes até opções no Android.

Combinando um método de distribuição altamente direcionado e uma técnica discreta, não detectada, resultou em taxas de infecção excepcionalmente altas.

Essa abordagem multiplataforma melhora a versatilidade do malware, dando aos atores de ameaças uma ferramenta poderosa que pode facilmente mirar múltiplos sistemas operacionais.

Este método permite aos atacantes entregar malware de forma mais eficaz em diversos dispositivos, maximizando seu alcance e impacto.

Publicidade

Black November Solyd 2024

Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...