Hacker nutzen beliebte Godot-Spiel-Engine aus, um Malware zu verbreiten

Sicherheitsforscher von Check Point Research haben einen neuen Malware-Loader namens „GodLoader“ entdeckt, der die Spiel-Engine „Godot Engine“ ausnutzt.

Für diejenigen, die es nicht wissen: Godot Engine ist eine beliebte Open-Source-Spiel-Engine, die für ihre Vielseitigkeit in der 2D- und 3D-Spielentwicklung bekannt ist.

Ihre benutzerfreundliche Oberfläche und das robuste Funktionsset ermöglichen es Entwicklern, Spiele auf verschiedene Plattformen zu exportieren, einschließlich Windows, macOS, Linux, Android, iOS, HTML5 (Web) und mehr.

Ihre von Python inspirierte Skriptsprache GDScript sowie die Unterstützung für VisualScript und C# machen sie zu einem Favoriten unter Entwicklern aller Fähigkeitsstufen.

Mit einer aktiven und wachsenden Community von über 2.700 Entwicklern und rund 80.000 Followern in sozialen Medien ist die Beliebtheit der Plattform und die engagierte Unterstützung unbestreitbar.

Allerdings hat die Beliebtheit der Plattform sie auch zu einem Ziel für Cyberkriminelle gemacht, die ihre Open-Source-Natur ausgenutzt haben, um bösartige Befehle und Malware zu verbreiten, während sie von fast allen Antiviren-Engines in VirusTotal unentdeckt bleiben.

In einem Bericht mit dem Titel „Gaming Engines: Ein unentdeckter Spielplatz für Malware-Loader“ sagen die Forscher, dass sie glauben, dass der Bedrohungsakteur hinter der GodLoader-Malware sie seit dem 29. Juni 2024 verwendet und bisher mehr als 17.000 Geräte infiziert hat.

Bemerkenswert ist, dass diese Payloads Kryptowährungs-Miner wie XMRig enthielten, die in einer privaten Pastebin-Datei gehostet wurden, die am 10. Mai 2024 hochgeladen wurde. Die Datei enthielt die XMRig-Konfiguration, die mit der Kampagne verbunden war und 206.913 Mal besucht wurde.

Die Malware wird über das Stargazers Ghost Network verteilt, das als Distribution-as-Service (DaaS)-Modell fungiert und die „legitime“ Verbreitung bösartiger Malware über GitHub-Repositories ermöglicht.

Ungefähr 200 Repositories und mehr als 225 Stargazer Ghost-Konten wurden verwendet, um GodLoader im September und Oktober zu verteilen.

Die Angriffe, die sich gegen Entwickler, Gamer und allgemeine Benutzer richteten, wurden in vier Wellen über GitHub-Repositories am 12. September, 14. September, 29. September und 3. Oktober 2024 durchgeführt, um sie zu verleiten, infizierte Tools und Spiele herunterzuladen.

„Godot verwendet .pck (Pack)-Dateien, um Spielressourcen und -assets wie Skripte, Szenen, Texturen, Sounds und andere Daten zu bündeln. Das Spiel kann diese Dateien dynamisch laden, was es Entwicklern ermöglicht, Updates, herunterladbare Inhalte (DLC) oder zusätzliche Spielressourcen bereitzustellen, ohne die Hauptspiel-Executable zu ändern“, sagten die Forscher von Check Point in dem Bericht.

„Diese Pack-Dateien könnten Elemente enthalten, die mit den Spielen, Bildern, Audiodateien und anderen „statischen“ Dateien verbunden sind. Neben diesen statischen Dateien können .pck-Dateien Skripte enthalten, die in GDScript (.gd) geschrieben sind. Diese Skripte können ausgeführt werden, wenn die .pck-Datei mit der integrierten Callback-Funktion _ready() geladen wird, was es dem Spiel ermöglicht, neue Funktionen hinzuzufügen oder bestehendes Verhalten zu ändern.

„Dieses Feature bietet Angreifern viele Möglichkeiten, von der Herunterladung zusätzlicher Malware bis zur Ausführung von Remote-Payloads – alles, während sie unentdeckt bleiben. Da GDScript eine voll funktionsfähige Sprache ist, haben Bedrohungsakteure viele Funktionen wie Anti-Sandbox-, Anti-virtuelle Maschine-Maßnahmen und Remote-Payload-Ausführung, die es der Malware ermöglichen, unentdeckt zu bleiben.“

Während die Forscher nur GodLoader-Proben identifizierten, die speziell Windows-Systeme anvisierten, entwickelten sie auch einen Proof-of-Concept-Exploit mit GDScript, der demonstriert, wie einfach die Malware angepasst werden könnte, um Linux- und macOS-Systeme anzugreifen.

Um die Risiken, die von Bedrohungen wie GodLoader ausgehen, zu verringern, ist es entscheidend, Betriebssysteme und Anwendungen mit zeitnahen Patches auf dem neuesten Stand zu halten und Vorsicht bei unerwarteten E-Mails oder Nachrichten walten zu lassen, die Links von unbekannten Quellen enthalten.

Darüber hinaus kann die Förderung des Bewusstseins für Cybersicherheit unter den Mitarbeitern und die Konsultation von Sicherheitsspezialisten im Zweifelsfall den Schutz gegen potenzielle Sicherheitsherausforderungen erheblich verbessern.

Als Reaktion auf den Bericht von Check Point Research sandte Rémi Verschelde, der Wartungsbeauftragte der Godot Engine und Mitglied des Sicherheitsteams, folgende Erklärung an BleepingComputer:

Wie der Bericht von Check Point Research besagt, ist die Schwachstelle nicht spezifisch für Godot. Die Godot Engine ist ein Programmiersystem mit einer Skriptsprache. Es ist ähnlich wie zum Beispiel die Python- und Ruby-Laufzeiten. Es ist möglich, in jeder Programmiersprache bösartige Programme zu schreiben. Wir glauben nicht, dass Godot besonders besser oder schlechter geeignet ist, dies zu tun als andere solche Programme.

Benutzer, die lediglich ein Godot-Spiel oder einen Editor auf ihrem System installiert haben, sind nicht spezifisch gefährdet. Wir ermutigen die Leute, Software nur aus vertrauenswürdigen Quellen auszuführen.

Für einige technische Details:
Godot registriert keinen Dateihandler für „.pck“-Dateien. Das bedeutet, dass ein bösartiger Akteur immer die Godot-Laufzeit zusammen mit einer .pck-Datei bereitstellen muss. Der Benutzer muss die Laufzeit immer zusammen mit der .pck-Datei an denselben Ort entpacken und dann die Laufzeit ausführen. Es gibt keine Möglichkeit für einen bösartigen Akteur, einen „One-Click-Exploit“ zu erstellen, abgesehen von anderen OS-Level-Schwachstellen. Wenn eine solche OS-Level-Schwachstelle ausgenutzt würde, wäre Godot aufgrund der Größe der Laufzeit keine besonders attraktive Option.
Dies ist ähnlich wie beim Schreiben von bösartiger Software in Python oder Ruby; der bösartige Akteur muss eine python.exe oder ruby.exe zusammen mit ihrem bösartigen Programm bereitstellen.