Хакеры используют популярный игровой движок Godot для распространения вредоносного ПО

Исследователи безопасности из Check Point Research обнаружили новый загрузчик вредоносного ПО “GodLoader”, который использует игровой движок “Godot Engine”.

Для тех, кто не в курсе, Godot Engine — это популярный движок с открытым исходным кодом, известный своей универсальностью в разработке 2D и 3D игр.

Его удобный интерфейс и мощный набор функций позволяют разработчикам экспортировать игры на различные платформы, включая Windows, macOS, Linux, Android, iOS, HTML5 (Web) и другие.

Его язык сценариев, вдохновленный Python, GDScript, наряду с поддержкой VisualScript и C#, делает его любимым среди разработчиков разных уровней.

С активным и растущим сообществом из более чем 2700 разработчиков и около 80 000 подписчиков в социальных сетях, популярность платформы и преданная поддержка неоспоримы.

Однако популярность платформы также сделала ее целью для киберпреступников, которые использовали ее открытый характер для доставки вредоносных команд и программ, оставаясь незамеченными почти всеми антивирусными движками в VirusTotal.

В отчете под названием “Игровые движки: незамеченная площадка для загрузчиков вредоносного ПО” исследователи заявляют, что считают, что злоумышленник, стоящий за вредоносным ПО GodLoader, использует его с 29 июня 2024 года и уже заразил более 17 000 устройств.

Примечательно, что эти полезные нагрузки включали криптовалютные майнеры, такие как XMRig, который был размещен на частном файле Pastebin, загруженном 10 мая 2024 года. Файл содержал конфигурацию XMRig, связанную с кампанией, которую посетили 206 913 раз.

Вредоносное ПО распространяется через сеть Stargazers Ghost, которая работает по модели Distribution-as-Service (DaaS), позволяя “легитимное” распространение вредоносного ПО через репозитории GitHub.

Приблизительно 200 репозиториев и более 225 аккаунтов Stargazer Ghost использовались для распространения GodLoader в течение сентября и октября.

Атаки, нацеленные на разработчиков, геймеров и обычных пользователей, проводились в четыре волны через репозитории GitHub 12 сентября, 14 сентября, 29 сентября и 3 октября 2024 года, соблазняя их загрузить зараженные инструменты и игры.

“Godot использует файлы .pck (пакет) для упаковки игровых ресурсов и активов, таких как сценарии, сцены, текстуры, звуки и другие данные. Игра может динамически загружать эти файлы, позволяя разработчикам распространять обновления, загружаемый контент (DLC) или дополнительные игровые активы без изменения основного исполняемого файла игры,” — сказали исследователи Check Point в отчете.

“Эти пакеты могут содержать элементы, связанные с играми, изображения, аудиофайлы и любые другие ‘статические’ файлы. В дополнение к этим статическим файлам, файлы .pck могут включать сценарии, написанные на GDScript (.gd). Эти сценарии могут выполняться, когда .pck загружается с использованием встроенной функции обратного вызова _ready(), позволяя игре добавлять новую функциональность или изменять существующее поведение.

“Эта функция предоставляет злоумышленникам множество возможностей, от загрузки дополнительного вредоносного ПО до выполнения удаленных полезных нагрузок — все это остается незамеченным. Поскольку GDScript является полностью функциональным языком, злоумышленники имеют множество функций, таких как меры против песочницы, против виртуальных машин и выполнение удаленных полезных нагрузок, что позволяет вредоносному ПО оставаться незамеченным.”

Хотя исследователи идентифицировали только образцы GodLoader, нацеленные на системы Windows, они также разработали доказательство концепции эксплуатации с использованием GDScript, демонстрируя, как легко вредоносное ПО может быть адаптировано для нацеливания на системы Linux и macOS.

Чтобы снизить риски, связанные с угрозами, такими как GodLoader, крайне важно поддерживать операционные системы и приложения в актуальном состоянии с своевременными патчами и проявлять осторожность с неожиданными электронными письмами или сообщениями, содержащими ссылки от неизвестных источников.

Кроме того, повышение осведомленности о кибербезопасности среди сотрудников и консультации со специалистами по безопасности в случае сомнений могут значительно улучшить защиту от потенциальных проблем безопасности.

В ответ на отчет Check Point Research, Реми Верше, куратор Godot Engine и член команды безопасности, отправил следующее заявление в BleepingComputer:

Как указывает отчет Check Point Research, уязвимость не специфична для Godot. Godot Engine — это система программирования с языком сценариев. Это похоже, например, на среды выполнения Python и Ruby. В любом языке программирования можно написать вредоносные программы. Мы не считаем, что Godot особенно более или менее подходит для этого, чем другие подобные программы.

Пользователи, у которых просто установлен Godot или редактор на их системе, не находятся под особым риском. Мы призываем людей выполнять программное обеспечение только из доверенных источников.

Для некоторых более технических деталей:

Godot не регистрирует обработчик файлов для файлов “.pck”. Это означает, что злоумышленник всегда должен поставлять среду выполнения Godot вместе с файлом .pck. Пользователь всегда должен распаковать среду выполнения вместе с .pck в одно и то же место, а затем выполнить среду выполнения. Нет способа для злоумышленника создать “эксплойт в один клик”, если не учитывать другие уязвимости на уровне ОС. Если такая уязвимость на уровне ОС будет использована, то Godot не будет особенно привлекательным вариантом из-за размера среды выполнения.

Это похоже на написание вредоносного ПО на Python или Ruby, злоумышленник должен будет поставлять python.exe или ruby.exe вместе с их вредоносной программой.