Hackers Exploram Popular Motor de Jogo Godot Para Espalhar Malware

Pesquisadores de segurança da Check Point Research descobriram um novo carregador de malware “GodLoader” que explora o motor de jogo “Godot Engine.”

Para aqueles que não sabem, Godot Engine é um popular motor de jogo de código aberto conhecido por sua versatilidade no desenvolvimento de jogos 2D e 3D.

Sua interface amigável e conjunto de recursos robustos permitem que os desenvolvedores exportem jogos para várias plataformas, incluindo Windows, macOS, Linux, Android, iOS, HTML5 (Web) e mais.

Sua linguagem de script inspirada em Python, GDScript, juntamente com suporte para VisualScript e C#, faz dele um favorito entre desenvolvedores de todos os níveis de habilidade.

Com uma comunidade ativa e crescente de mais de 2.700 desenvolvedores e cerca de 80.000 seguidores nas redes sociais, a popularidade da plataforma e o suporte dedicado são inegáveis.

No entanto, a popularidade da plataforma também a tornou um alvo para cibercriminosos, que aproveitaram sua natureza de código aberto para entregar comandos maliciosos e malware enquanto permaneciam indetectáveis por quase todos os motores antivírus no VirusTotal.

Em um relatório intitulado “Motores de Jogo: Um Playground Indetectado para Carregadores de Malware,” os pesquisadores afirmam acreditar que o ator de ameaça por trás do malware GodLoader o tem utilizado desde 29 de junho de 2024 e já infectou mais de 17.000 dispositivos até agora.

Notavelmente, esses payloads incluíam mineradores de criptomoedas como XMRig, que foi hospedado em um arquivo privado do Pastebin enviado em 10 de maio de 2024. O arquivo continha a configuração do XMRig relacionada à campanha, que foi visitada 206.913 vezes.

O malware é distribuído através da Rede Fantasma Stargazers, que opera como um modelo de Distribuição como Serviço (DaaS), permitindo a distribuição “legítima” de malware malicioso através de repositórios do GitHub.

Aproximadamente 200 repositórios e mais de 225 contas do Stargazer Ghost foram usados para distribuir o GodLoader ao longo de setembro e outubro.

Os ataques, direcionados a desenvolvedores, jogadores e usuários em geral, foram realizados em quatro ondas através de repositórios do GitHub em 12 de setembro, 14 de setembro, 29 de setembro e 3 de outubro de 2024, tentando convencê-los a baixar ferramentas e jogos infectados.

“Godot usa arquivos .pck (pack) para agrupar ativos e recursos de jogos, como scripts, cenas, texturas, sons e outros dados. O jogo pode carregar esses arquivos dinamicamente, permitindo que os desenvolvedores distribuam atualizações, conteúdo para download (DLC) ou ativos adicionais do jogo sem modificar o executável principal do jogo,” disseram os pesquisadores da Check Point no relatório.

“Esses arquivos pack podem conter elementos relacionados aos jogos, imagens, arquivos de áudio e quaisquer outros arquivos ‘estáticos’. Além desses arquivos estáticos, os arquivos .pck podem incluir scripts escritos em GDScript (.gd). Esses scripts podem ser executados quando o .pck é carregado usando a função de retorno de chamada embutida _ready(), permitindo que o jogo adicione nova funcionalidade ou modifique o comportamento existente.

“Esse recurso oferece aos atacantes muitas possibilidades, desde baixar malware adicional até executar payloads remotos—tudo isso enquanto permanecem indetectáveis. Como GDScript é uma linguagem totalmente funcional, os atores de ameaça têm muitas funções como medidas anti-sandbox, anti-máquina virtual e execução de payloads remotos, permitindo que o malware permaneça indetectável.”

Embora os pesquisadores tenham identificado apenas amostras do GodLoader especificamente direcionadas a sistemas Windows, eles também desenvolveram uma prova de conceito de exploit usando GDScript, demonstrando quão facilmente o malware poderia ser adaptado para atacar sistemas Linux e macOS.

Para reduzir os riscos apresentados por ameaças como o GodLoader, é crucial manter sistemas operacionais e aplicativos atualizados com patches oportunos e ter cautela com e-mails ou mensagens inesperadas contendo links de fontes desconhecidas.

Além disso, promover a conscientização sobre cibersegurança entre os funcionários e consultar especialistas em segurança quando em dúvida pode melhorar significativamente a proteção contra potenciais desafios de segurança.

Em resposta ao relatório da Check Point Research, Rémi Verschelde, mantenedor do Godot Engine e membro da equipe de segurança, enviou a seguinte declaração ao BleepingComputer:

Como o relatório da Check Point Research afirma, a vulnerabilidade não é específica do Godot. O Godot Engine é um sistema de programação com uma linguagem de script. É semelhante, por exemplo, aos tempos de execução do Python e Ruby. É possível escrever programas maliciosos em qualquer linguagem de programação. Não acreditamos que o Godot seja particularmente mais ou menos adequado para isso do que outros programas desse tipo.

Usuários que apenas têm um jogo ou editor Godot instalado em seu sistema não estão especificamente em risco. Incentivamos as pessoas a executar apenas software de fontes confiáveis.

Para alguns detalhes mais técnicos:

Godot não registra um manipulador de arquivos para arquivos “.pck”. Isso significa que um ator malicioso sempre tem que enviar o tempo de execução do Godot junto com um arquivo .pck. O usuário sempre terá que descompactar o tempo de execução junto com o .pck para o mesmo local e, em seguida, executar o tempo de execução. Não há como um ator malicioso criar um “exploit de um clique”, exceto por outras vulnerabilidades em nível de SO. Se tal vulnerabilidade em nível de SO fosse usada, então o Godot não seria uma opção particularmente atraente devido ao tamanho do tempo de execução.

Isso é semelhante a escrever software malicioso em Python ou Ruby, o ator malicioso terá que enviar um python.exe ou ruby.exe junto com seu programa malicioso.