GodLoader adı verilen yeni keşfedilen bir kötü amaçlı yazılım, Windows, macOS, Linux, Android ve iOS dahil birden fazla işletim sistemindeki cihazlara gizlice bulaşma yeteneği nedeniyle siber güvenlik topluluğunda alarma neden oluyor.
Check Point Research tarafından tanıtılan bu gelişmiş kötü amaçlı yazılım, popüler bir açık kaynaklı oyun geliştirme platformu olan Godot Engine’den yararlanarak çoğu antivirüs algılama sistemini atlayarak kötü amaçlı komut dosyaları çalıştırıyor.
GodLoader, kötü amaçlı yükleri teslim etmek ve yürütmek için Godot Engine’in kodlama dili GDScript’ten yararlanır. GDScript, oyun geliştirme için tasarlanmış, geliştiricilerin dinamik içerik oluşturmasına olanak tanıyan Python benzeri bir dildir. Ancak siber suçlular, kötü amaçlı komutları tetikleyen komut dosyaları oluşturmak için esnekliklerini silah olarak kullandılar.
Kötü amaçlı yazılım, GitHub’da barındırılan karmaşık bir “Hizmet Olarak Kötü Amaçlı Yazılım” operasyonu olan Stargazers Ghost Network aracılığıyla dağıtılıyor. GodLoader’ı Eylül ve Ekim 2024 arasında dağıtmak için 200’den fazla depo ve 225 hesap kullanıldı.
Bu depolar, meşru projeler görünümüne büründü ve GitHub’un kullanıcıları yanıltmak için “yıldız koyma” sistemi aracılığıyla güvenilirlik kazandı.
GodLoader, indirildikten sonra kötü amaçlı yazılımları yerleştirerek veya dinamik olarak yükleyerek yükünü yürütür. .pck Checkpoint araştırmacıları, dosyaların (Godot tarafından oyun varlıklarını paketlemek için kullanıldığını) söyledi.
Analyze cyber threats with ANYRUN's powerful sandbox. Black Friday Deals : Get up to 3 Free Licenses.
Bu dosyalar, motor tarafından şifresi çözülen ve yürütülen şifrelenmiş GDScript’leri içerir. Kötü amaçlı yazılım ayrıca, tespit edilmekten kaçınmak için korumalı alan önleme ve sanal makine kontrolleri gibi gelişmiş kaçınma teknikleri de kullanıyor.
GodLoader Çapraz Platform Özellikleri
GodLoader’ın en endişe verici özelliklerinden biri platformlar arası işlevselliğidir. Godot Motoru, geliştiricilerin projeleri minimum değişiklikle çeşitli platformlara aktarmalarına olanak tanır. Tehdit aktörleri bu yeteneği kullanarak aşağıdakileri hedef aldı:
- Windows: İlk örnekler Windows cihazlarında yük dağıtımını gösterdi.
- macOS ve Linux: Kavram kanıtı saldırıları, benzer tekniklerin küçük ayarlamalarla uygulanabileceğini gösterdi.
- Android: Henüz tam olarak geliştirilmemiş olsa da araştırmacılar Android sürümünün mümkün olduğuna inanıyor.
- iOS: iOS’ta dağıtım, Apple’ın katı App Store politikaları nedeniyle zorluklarla karşı karşıyadır ancak potansiyel bir risk olmaya devam etmektedir.
Bu çok yönlülük, GodLoader’ı farklı işletim sistemlerinde erişimlerini en üst düzeye çıkarmayı amaçlayan saldırganlar için güçlü bir araç haline getiriyor.
Stargazers Ghost Network, GodLoader’ın dağıtımında çok önemli bir rol oynadı. Haziran ve Ekim 2024 arasında ağ, kötü amaçlı dosyaları barındırmak için GitHub depolarını kullanan birden fazla kampanya başlattı. Bu depolar, yasal görünmek ve şüphelenmeyen kullanıcıları çekmek için otomatik botlar kullanılarak düzenli olarak güncellendi.
Kötü amaçlı yazılımın bulaşma zinciri, yürütülebilir dosyalar içeren görünüşte zararsız bir arşivin indirilmesiyle başlar ve .pck kaynaklar. Kötü amaçlı yazılım yürütüldükten sonra şifreyi çözer. .pck dosyasını çalıştırır, kötü amaçlı GDScript’leri çalıştırır ve harici sunuculardan ek veriler indirir. Bu veriler arasında özellikle XMRig gibi kripto para birimi madencileri ve RedLine gibi kimlik bilgileri çalan kötü amaçlı yazılımlar yer alıyordu.
GodLoader, Godot Engine gibi yasal yazılımlardan yararlanma yeteneği nedeniyle önemli bir tehdit oluşturmaktadır. Godot tarafından geliştirilen oyunların 1,2 milyondan fazla kullanıcısı potansiyel olarak risk altındayken, saldırganlar meşru oyunları değiştirerek oyuncuları hedef alabilir. .pck kötü amaçlı dosyalar içeren veya virüslü oyun modları dağıtan dosyalar.
Üstelik kötü amaçlı yazılımın çoğu antivirüs motoru tarafından tespit edilememesi tehlikesini artırıyor. Örneğin Check Point araştırmacıları, virüslü bazı arşivlerin herhangi bir güvenlik uyarısı tetiklenmeden 17.000’den fazla indirildiğini tespit etti.
Azaltma Stratejileri
GodLoader gibi tehditlere karşı korunmak için:
- İşletim sistemlerini ve uygulamaları düzenli olarak güncelleyin.
- Doğrulanmamış kaynaklardan yazılım indirmekten kaçının.
- Gelişmiş tehditleri tespit edebilen güçlü uç nokta koruma çözümlerini kullanın.
- Çalışanları ve kullanıcıları kimlik avı taktikleri ve şüpheli indirmeler konusunda eğitin.
- Godot Motorunu kullanan geliştiriciler şifrelemelidir
.pckDosyaları kurcalamayı önlemek için asimetrik şifreleme yöntemleriyle kullanın.
GodLoader, Godot Engine gibi açık kaynaklı araçlara olan güvenden yararlanarak platformlar arası kötü amaçlı yazılım geliştirmede yeni bir sınırı temsil ediyor. Gizli dağıtım yöntemleri ve gelişmiş kaçınma teknikleri, siber tehditlerin artan karmaşıklığını vurgulamaktadır.
Saldırganlar yenilik yapmaya devam ederken, bu tür çok platformlu kötü amaçlı yazılımların oluşturduğu riskleri azaltmak için dikkatli olmak ve proaktif güvenlik önlemleri almak çok önemlidir.
Uzlaşma Göstergeleri
| Tanım | Değer |
|---|---|
| Arşiv Stargazers Ghost Network tarafından dağıtıldı | 260f06f0c6c1544afcdd9a380a114489ebdd041b846b68703158e207b7c983d6 |
| Launcherkks.exe | 3317b8e19e19218e5a7c77a47a76f36e37319f383b314b30179b837e46c87c45 |
| Launcherkks.pck | 0d03c7c6335e06c45dd810fba6c52cdb9eafe02111da897696b83811bff0be92 |
| Kırmızı Hat | 604fa32b76dbe266da3979b7a49e3100301da56f0b58c13041ab5febe55354d2 6be9c015c82645a448831d9dc8fcae4360228f76dff000953a76e3bf203d3ec8 |
| XMRig | b1a351ee61443b8558934dca6b2fa9efb0a6d2d18bae61ace5a761596604dbfa |
| RedLine Şartları ve Koşulları | 147.45.44.83:6483 185.196.9.26:6302 |
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın