Gli hacker sfruttano il popolare motore di gioco Godot per diffondere malware

I ricercatori di sicurezza di Check Point Research hanno scoperto un nuovo loader di malware “GodLoader” che sfrutta il motore di gioco “Godot Engine.”

Per chi non lo sapesse, Godot Engine è un popolare motore di gioco open-source noto per la sua versatilità nello sviluppo di giochi 2D e 3D.

La sua interfaccia user-friendly e il robusto set di funzionalità consentono agli sviluppatori di esportare giochi su varie piattaforme, tra cui Windows, macOS, Linux, Android, iOS, HTML5 (Web) e altro ancora.

Il suo linguaggio di scripting ispirato a Python, GDScript, insieme al supporto per VisualScript e C#, lo rende un favorito tra gli sviluppatori di tutti i livelli di abilità.

Con una comunità attiva e in crescita di oltre 2.700 sviluppatori e circa 80.000 follower sui social media, la popolarità della piattaforma e il supporto dedicato sono innegabili.

Tuttavia, la popolarità della piattaforma l’ha anche resa un obiettivo per i criminali informatici, che hanno sfruttato la sua natura open-source per inviare comandi dannosi e malware rimanendo quasi del tutto non rilevati da tutti i motori antivirus in VirusTotal.

In un rapporto intitolato “Motori di gioco: un parco giochi non rilevato per i loader di malware,” i ricercatori affermano di credere che l’attore della minaccia dietro il malware GodLoader lo stia utilizzando dal 29 giugno 2024 e abbia infettato finora più di 17.000 dispositivi.

In particolare, questi payload includevano miner di criptovalute come XMRig, che è stato ospitato su un file Pastebin privato caricato il 10 maggio 2024. Il file conteneva la configurazione di XMRig relativa alla campagna, che è stata visitata 206.913 volte.

Il malware viene distribuito tramite la Stargazers Ghost Network, che opera come un modello di Distribuzione come Servizio (DaaS), consentendo la distribuzione “legittima” del malware attraverso i repository di GitHub.

Circa 200 repository e più di 225 account Stargazer Ghost sono stati utilizzati per distribuire GodLoader durante settembre e ottobre.

Gli attacchi, mirati a sviluppatori, giocatori e utenti generali, sono stati effettuati in quattro ondate tramite repository di GitHub il 12 settembre, 14 settembre, 29 settembre e 3 ottobre 2024, tentando di indurli a scaricare strumenti e giochi infetti.

“Godot utilizza file .pck (pack) per raggruppare risorse e asset di gioco, come script, scene, texture, suoni e altri dati. Il gioco può caricare questi file dinamicamente, consentendo agli sviluppatori di distribuire aggiornamenti, contenuti scaricabili (DLC) o asset di gioco aggiuntivi senza modificare l’eseguibile principale del gioco,” hanno affermato i ricercatori di Check Point nel rapporto.

“Questi file pack potrebbero contenere elementi relativi ai giochi, immagini, file audio e qualsiasi altro file ‘statico’. Oltre a questi file statici, i file .pck possono includere script scritti in GDScript (.gd). Questi script possono essere eseguiti quando il .pck viene caricato utilizzando la funzione di callback integrata _ready(), consentendo al gioco di aggiungere nuove funzionalità o modificare il comportamento esistente.

“Questa funzionalità offre agli attaccanti molte possibilità, dal download di malware aggiuntivo all’esecuzione di payload remoti, il tutto rimanendo non rilevati. Poiché GDScript è un linguaggio completamente funzionale, gli attori della minaccia hanno molte funzioni come misure anti-sandbox, anti-macchina virtuale e esecuzione di payload remoti, consentendo al malware di rimanere non rilevato.”

Sebbene i ricercatori abbiano identificato solo campioni di GodLoader specificamente mirati ai sistemi Windows, hanno anche sviluppato un exploit proof-of-concept utilizzando GDScript, dimostrando quanto facilmente il malware potrebbe essere adattato per mirare a sistemi Linux e macOS.

Per ridurre i rischi posti da minacce come GodLoader, è cruciale mantenere i sistemi operativi e le applicazioni aggiornati con patch tempestive ed esercitare cautela con email o messaggi inaspettati contenenti link da fonti sconosciute.

Inoltre, promuovere la consapevolezza della cybersecurity tra i dipendenti e consultare specialisti della sicurezza in caso di dubbi può migliorare significativamente la protezione contro potenziali sfide di sicurezza.

In risposta al rapporto di Check Point Research, Rémi Verschelde, manutentore di Godot Engine e membro del team di sicurezza, ha inviato la seguente dichiarazione a BleepingComputer:

Come afferma il rapporto di Check Point Research, la vulnerabilità non è specifica di Godot. Il Godot Engine è un sistema di programmazione con un linguaggio di scripting. È simile, ad esempio, ai runtime di Python e Ruby. È possibile scrivere programmi dannosi in qualsiasi linguaggio di programmazione. Non crediamo che Godot sia particolarmente più o meno adatto a farlo rispetto ad altri programmi simili.

Gli utenti che hanno semplicemente un gioco o un editor Godot installato sul proprio sistema non sono specificamente a rischio. Incoraggiamo le persone a eseguire solo software da fonti fidate.

Per alcuni dettagli più tecnici:
Godot non registra un gestore di file per i file “.pck”. Ciò significa che un attore malevolo deve sempre fornire il runtime di Godot insieme a un file .pck. L’utente dovrà sempre estrarre il runtime insieme al .pck nella stessa posizione e poi eseguire il runtime. Non c’è modo per un attore malevolo di creare un “exploit con un clic”, a meno che non ci siano altre vulnerabilità a livello di OS. Se tale vulnerabilità a livello di OS fosse utilizzata, Godot non sarebbe un’opzione particolarmente attraente a causa delle dimensioni del runtime.

Questo è simile a scrivere software dannoso in Python o Ruby, l’attore malevolo dovrà fornire un python.exe o ruby.exe insieme al proprio programma dannoso.