Ha infectado más de 17.000 sistemas desde al menos junio de 2024
Un popular motor de juegos de código abierto llamado Godot Engine está siendo utilizado indebidamente como parte de una nueva campaña de malware GodLoader, que ha infectado más de 17.000 sistemas desde al menos junio de 2024.
"Los cibercriminales han estado aprovechando Godot Engine para ejecutar código GDScript diseñado específicamente para activar comandos maliciosos y distribuir malware", afirmó Check Point en un nuevo análisis publicado el miércoles. "La técnica sigue sin ser detectada por casi todos los motores antivirus de VirusTotal".
No sorprende que los actores de amenazas estén constantemente en busca de nuevas herramientas y técnicas que puedan ayudarles a distribuir malware y eludir la detección de los controles de seguridad, incluso cuando los defensores continúan erigiendo nuevas barreras de protección.
La última incorporación es Godot Engine, una plataforma de desarrollo de juegos que permite a los usuarios diseñar juegos en 2D y 3D en distintas plataformas, incluidas Windows, macOS, Linux, Android, iOS, PlayStation, Xbox, Nintendo Switch y la web.
El soporte multiplataforma también lo convierte en una herramienta atractiva en manos de los adversarios que ahora pueden aprovecharlo para atacar e infectar dispositivos a escala, ampliando efectivamente la superficie de ataque.
"La flexibilidad del motor Godot lo ha convertido en un objetivo para los cibercriminales, lo que permite que malware multiplataforma sigiloso como GodLoader se propague rápidamente explotando la confianza en las plataformas de código abierto", dijo en una declaración Eli Smadja, gerente del grupo de investigación de seguridad de Check Point Software Technologies.
"Para los 1,2 millones de usuarios de los juegos desarrollados por Godot, las consecuencias son profundas, no solo para sus dispositivos sino para la integridad del propio ecosistema de juegos. Esta es una llamada de atención para que la industria priorice las medidas de ciberseguridad proactivas y multiplataforma para mantenerse a la vanguardia de esta alarmante tendencia".
Lo que hace que la campaña se destaque es que aprovecha la red Stargazers Ghost (en este caso, un conjunto de alrededor de 200 repositorios de GitHub y más de 225 cuentas falsas) como vector de distribución para GodLoader.
"Estas cuentas han estado utilizando repositorios maliciosos que distribuyen GodLoader, haciéndolos parecer legítimos y seguros", dijo Check Point. "Los repositorios fueron lanzados en cuatro oleadas separadas, principalmente dirigidos a desarrolladores, jugadores y usuarios en general".
Se ha descubierto que los ataques, observados el 12 de septiembre, el 14 de septiembre, el 29 de septiembre y el 3 de octubre de 2024, emplean ejecutables de Godot Engine, también conocidos como archivos pack (o .PCK), para soltar el malware cargador, que luego es responsable de descargar y ejecutar cargas útiles de etapa final como RedLine Stealer y el minero de criptomonedas XMRig desde un repositorio de Bitbucket.
Además, el cargador incorpora funciones para omitir el análisis en entornos virtuales y de espacio aislado y agregar toda la unidad C:\ a la lista de exclusiones de Microsoft Defender Antivirus para evitar la detección de malware.
La empresa de ciberseguridad dijo que los artefactos GodLoader están orientados principalmente a atacar máquinas Windows, aunque señaló que es trivial adaptarlos para infectar sistemas macOS y Linux.
Es más, si bien el conjunto actual de ataques implica que los actores de amenazas creen ejecutables personalizados de Godot Engine para la propagación de malware, podría llevarse a un nivel superior al manipular un juego legítimo creado con Godot después de obtener la clave de cifrado simétrica utilizada para extraer el archivo .PCK.
Sin embargo, este tipo de ataque se puede evitar cambiando a un algoritmo de clave asimétrica (también conocido como criptografía de clave pública) que se basa en un par de claves pública y privada para cifrar/descifrar datos.
La campaña maliciosa es otro recordatorio de cómo los actores de amenazas con frecuencia aprovechan servicios y marcas legítimos para evadir los mecanismos de seguridad, lo que obliga a los usuarios a descargar software solo de fuentes confiables.
"Los actores de amenazas han utilizado las capacidades de scripting de Godot para crear cargadores personalizados que pasan desapercibidos para muchas soluciones de seguridad convencionales", afirmó Check Point. "Dado que la arquitectura de Godot permite la entrega de carga útil independiente de la plataforma, los atacantes pueden implementar fácilmente código malicioso en Windows, Linux y macOS, a veces incluso explorando opciones de Android".
"La combinación de un método de distribución altamente específico y una técnica discreta y no detectada ha dado como resultado tasas de infección excepcionalmente altas. Este enfoque multiplataforma mejora la versatilidad del malware, lo que brinda a los actores de amenazas una poderosa herramienta que puede atacar fácilmente varios sistemas operativos. Este método permite a los atacantes distribuir malware de forma más efectiva a través de varios dispositivos, maximizando su alcance e impacto".