Godot Engine adlı popüler bir açık kaynaklı oyun motoru, yeni bir sistemin parçası olarak kötüye kullanılıyor Tanrı Yükleyici En az Haziran 2024’ten bu yana 17.000’den fazla sisteme bulaşan kötü amaçlı yazılım kampanyası.
Check Point Çarşamba günü yayınlanan yeni bir analizde, “Siber suçlular, kötü amaçlı komutları tetikleyen ve kötü amaçlı yazılım dağıtan hazırlanmış GDScript kodunu yürütmek için Godot Engine’den yararlanıyor.” dedi. “Teknik, VirusTotal’daki neredeyse tüm antivirüs motorları tarafından tespit edilemiyor.”
Savunmacılar yeni korkuluklar dikmeye devam ederken, tehdit aktörlerinin sürekli olarak kötü amaçlı yazılım dağıtmalarına yardımcı olabilecek yeni araç ve teknikler arayışında olmaları ve bir yandan da güvenlik kontrolleri tarafından tespit edilmekten kaçınmaları şaşırtıcı değil.
En yeni eklenti, kullanıcıların Windows, macOS, Linux, Android, iOS, PlayStation, Xbox, Nintendo Switch ve web dahil olmak üzere platformlarda 2D ve 3D oyunlar tasarlamasına olanak tanıyan bir oyun geliştirme platformu olan Godot Engine’dir.
Çoklu platform desteği, aynı zamanda, saldırı yüzeyini etkili bir şekilde genişleterek, cihazları geniş ölçekte hedeflemek ve etkilemek için bundan yararlanabilen düşmanların elinde onu çekici bir uygulama haline getiriyor.
Kampanyayı öne çıkaran şey, GodLoader için bir dağıtım vektörü olarak Stargazers Ghost Network’ü (bu durumda yaklaşık 200 GitHub deposu ve 225’ten fazla sahte hesaptan oluşan) kullanmasıdır.
Check Point, “Bu hesaplar, GodLoader’ı dağıtan kötü amaçlı depoları barındırıyor ve bu da onların meşru ve güvenli görünmesini sağlıyor” dedi. “Depolar, öncelikle geliştiricileri, oyuncuları ve genel kullanıcıları hedef alan dört ayrı dalga halinde yayınlandı.”
12 Eylül, 14 Eylül, 29 Eylül ve 3 Ekim 2024’te gözlemlenen saldırıların, yükleyici kötü amaçlı yazılımını düşürmek için paket (veya .PCK) dosyaları olarak da bilinen Godot Engine yürütülebilir dosyalarını kullandığı tespit edildi. RedLine Stealer ve XMRig kripto para madencisi gibi son aşama yüklerini bir Bitbucket deposundan indirmek ve yürütmek için.
Ayrıca yükleyici, korumalı alan ve sanal ortamlardaki analizi atlamak ve kötü amaçlı yazılımların algılanmasını önlemek için C:\ sürücüsünün tamamını Microsoft Defender Antivirus hariç tutmalar listesine eklemek için özellikler içerir.
Siber güvenlik şirketi, GodLoader eserlerinin öncelikle Windows makinelerini hedeflemeye yönelik olduğunu söyledi ancak bunları macOS ve Linux sistemlerine bulaşacak şekilde uyarlamanın önemsiz olduğunu belirtti.
Dahası, mevcut saldırılar, tehdit aktörlerinin kötü amaçlı yazılım yayılımı için özel Godot Engine çalıştırılabilir dosyaları oluşturmasını içeriyor olsa da, .PCK dosyasını çıkarmak için kullanılan simetrik şifreleme anahtarını aldıktan sonra Godot tarafından oluşturulmuş meşru bir oyuna müdahale edilmesiyle bu saldırı bir adım daha yukarıya çıkarılabilir. dosya.
Ancak bu tür bir saldırı, verileri şifrelemek/şifresini çözmek için genel ve özel anahtar çiftine dayanan asimetrik anahtar algoritmasına (başka bir deyişle genel anahtar şifrelemesine) geçilerek önlenebilir.
Kötü amaçlı kampanya, tehdit aktörlerinin güvenlik mekanizmalarından kaçmak için sıklıkla meşru hizmetlerden ve markalardan yararlandığını ve kullanıcıların yazılımı yalnızca güvenilir kaynaklardan indirmesini gerektirdiğini bir kez daha hatırlatıyor.
Check Point, “Tehdit aktörleri, birçok geleneksel güvenlik çözümü tarafından tespit edilemeyen özel yükleyiciler oluşturmak için Godot’nun komut dosyası oluşturma yeteneklerini kullandı” dedi. “Godot’nun mimarisi platformdan bağımsız yük dağıtımına izin verdiğinden, saldırganlar kötü amaçlı kodları Windows, Linux ve macOS’ta kolayca dağıtabilir, hatta bazen Android seçeneklerini bile keşfedebilir.”
“Yüksek düzeyde hedefe yönelik bir dağıtım yöntemi ile gizli, tespit edilemeyen bir tekniğin birleştirilmesi, olağanüstü derecede yüksek enfeksiyon oranlarıyla sonuçlandı. Bu platformlar arası yaklaşım, kötü amaçlı yazılımların çok yönlülüğünü artırarak tehdit aktörlerine birden fazla işletim sistemini kolayca hedef alabilecek güçlü bir araç sağlıyor. Bu yöntem, saldırganların, kötü amaçlı yazılımların çok yönlülüğünü artırmasına olanak tanıyor. Kötü amaçlı yazılımların çeşitli cihazlarda daha etkili bir şekilde erişilmesini ve etkilerini en üst düzeye çıkarmasını sağlıyoruz.”