Tehdit aktörleri, çok çeşitli işletim sistemlerine ve platformlara gizlice kötü amaçlı yazılım dağıtmak için ustaca yeni bir yöntem kullanıyor: Açık kaynaklı bir oyun motoru olan Godot Engine’i kullanan bir kötü amaçlı yazılım yükleyicisi yarattılar.
GodLoader olarak adlandırılan yükleyici, kötü amaçlı yazılım dağıtımını “Hizmet olarak” sağlayan, GitHub hesaplarından ve depolardan oluşan geniş bir ağ olan Stargazers Ghost Network aracılığıyla dağıtılıyor.
Check Point araştırmacılarına göre şu ana kadar 17.000’den fazla makineye kötü amaçlı yükleyici bulaştı. Ve bu makineler geliştiricilere ait olduğunda ek riskler ortaya çıkar.
“Geliştiricilerin oyun geliştirme için Godot Engine gibi açık kaynaklı platformlara sıklıkla erişmesi ve bunları kullanması nedeniyle, farkında olmadan projelerine kötü amaçlı kod ekleme olasılığı ciddi bir endişe kaynağı haline geliyor. Ayrıca, risk altındaki araçlarla hazırlanmış olabilecek oyunları indirip kuran oyuncular için de riskin arttığına dikkat çektiler.”
“Potansiyel bir saldırı, Godot tarafından geliştirilen oyunların 1,2 milyondan fazla kullanıcısını hedef alabilir. Bu senaryolar, modlar veya diğer indirilebilir içerikler biçimindeki kötü amaçlı komut dosyalarını yüklemek için meşru Godot yürütülebilir dosyalarından faydalanmayı içeriyor.”
Godot Engine ile kötü amaçlı yazılım yükleyicisini oluşturma
Godot Engine, hem birçok platformda çalışabilen hem de projeleri Windows, Linux, macOS, Android, iOS, çeşitli VR platformları ve daha fazlasına aktarabilen popüler, ücretsiz ve açık kaynaklı bir 2D ve 3D oyun motoru/geliştirme platformudur.
Desteklediği programlama dilleri arasında, tehdit aktörlerinin kötü amaçlı kod oluşturmak için kullandığı, kod geliştirmeye yönelik özel bir kodlama dili olan GDScript de yer alıyor.
“Godot Motorunun kullanılması, onun kullanımına bağlıdır. .pck Dağıtım için komut dosyaları ve sahneler de dahil olmak üzere oyun varlıklarını bir araya getiren dosyalar. Check Point araştırmacıları, bu dosyalar yüklendiğinde, kötü amaçlı GDScript’in yerleşik geri çağırma işlevi aracılığıyla çalıştırılabileceğini söyledi.
“Bu özellik, saldırganlara ek kötü amaçlı yazılım indirmekten uzak yükleri yürütmeye kadar pek çok olanak sunuyor; üstelik bunların hepsi fark edilmeden kalıyor. GDScript tamamen işlevsel bir dil olduğundan, tehdit aktörleri, korumalı alan önleme, sanal makine önleme önlemleri ve uzaktan yük yürütme gibi birçok işleve sahip olup, kötü amaçlı yazılımın tespit edilmeden kalmasını sağlar.”
Yeni teknik nasıl çalışıyor (Kaynak: Check Point Research)
Araştırmacılar, tehdit aktörlerinin Windows makinelerine yükleyici bıraktığını keşfetti ancak bunun yapılabileceğini ve yapmanın kolaylığını doğrulamak için macOS ve Linux üzerinde çalışan kavram kanıtlayıcı yükleyiciler de oluşturdular.
“Bir Android yükleyici de mümkün görünüyor ancak Godot Motorunda değişiklikler yapılması gerekiyor. Ancak Apple’ın katı App Store politikaları nedeniyle iOS sürümünün çıkması pek olası değil, bu da dağıtımı zorlaştıracaktır” dediler.
GodLoader dağıtımı
Daha önce de belirtildiği gibi tehdit aktörü, kötü amaçlı yükleyicileri dağıtmak için Stargazers Ghost Network’ü seçti; bunun nedeni büyük olasılıkla geliştiricilerin ve oyuncuların paketler ve hileler için GitHub’u taramaya alışkın olmalarıydı.
Bu hayalet hesaplar ağı, her türlü kötü amaçlı yazılımı dağıtmak için kullanılır ve uzun vadede hayatta kalmasını sağlayacak şekilde kurulur: farklı hesapların farklı rolleri vardır; bazıları kötü amaçlı indirme bağlantıları sunar, diğerleri kötü amaçlı yazılım sunar (şifrelenmiş arşivlerde), diğerleri ise (görünürlüklerini, popülerliklerini ve meşruluk görünümlerini artırmak için) veri havuzlarına yıldız ekler ve abone olurlar.
Check Point araştırmacıları, “GodLoader’ın dağıtımı için yaklaşık 200 depo ve 225’ten fazla Stargazer Ghost hesabı kullanıldı” dedi.
Kurbanlar, ücretli yazılımların veya anahtar oluşturucuların kırık sürümlerini indirdiklerini düşünüyorlardı. Bunun yerine, GodLoader’ı aldılar ve bu daha sonra XMRig kripto para madencisini veya RedLine bilgi hırsızını (bitbucket.org’da barındırılan) indirip kurdu.
Bu planın arkasındaki tehdit aktörleri, en az 29 Haziran 2024’ten beri GodLoader’ı antivirüs araçları tarafından işaretlenmeden kullanıyor.
Check Point araştırmacıları, “Yüksek düzeyde hedeflenmiş bir dağıtım yöntemi ile gizli, tespit edilemeyen bir tekniğin birleştirilmesi, olağanüstü derecede yüksek enfeksiyon oranlarına yol açtı” dedi ve tekniğin VirusTotal’daki neredeyse tüm antivirüs motorları tarafından tespit edilemediği konusunda uyardı.