Ciberseguridad 360 | Godot Engine utilizado para distribuir malware

Un popular motor de juegos de c�digo abierto llamado Godot Engine est� siendo utilizado indebidamente como parte de una nueva campa�a de malware GodLoader, infectando m�s de 17.000 sistemas desde al menos junio de 2024.

"Los ciberdelincuentes han estado aprovechando Godot Engine para ejecutar c�digo GDScript crafteado que desencadena comandos maliciosos y entrega malware", dijo Check Point en un nuevo an�lisis publicado el mi�rcoles. "La t�cnica sigue sin ser detectada por casi todos los motores antivirus en VirusTotal".

No es de extra�ar que las amenazas busquen constantemente nuevas herramientas y t�cnicas que les ayuden a distribuir malware sin ser detectadas por los controles de seguridad, incluso cuando las defensas siguen erigiendo nuevas barreras.

La �ltima incorporaci�n es Godot Engine, una plataforma de desarrollo de juegos que permite a los usuarios dise�ar juegos en 2D y 3D en plataformas como Windows, macOS, Linux, Android, iOS, PlayStation, Xbox, Nintendo Switch y la web.

El soporte multiplataforma tambi�n lo convierte en un atractivo implemento en manos de los adversarios, que ahora pueden aprovecharlo para atacar e infectar dispositivos a escala, ampliando efectivamente la superficie de ataque.

"La flexibilidad del motor Godot lo ha convertido en un objetivo para los ciberdelincuentes, permitiendo que el malware sigiloso y multiplataforma como GodLoader se propague r�pidamente aprovechando la confianza en las plataformas de c�digo abierto", afirma Eli Smadja, director del grupo de investigaci�n de seguridad de Check Point Software Technologies, en un comunicado compartido con The Hacker News.

"La flexibilidad del motor Godot lo ha convertido en un objetivo para los ciberdelincuentes, permitiendo que el malware sigiloso y multiplataforma como GodLoader se propague r�pidamente aprovechando la confianza en las plataformas de c�digo abierto. Para los 1,2 millones de usuarios de juegos desarrollados por Godot, las implicaciones son profundas, no s�lo para sus dispositivos, sino para la integridad del propio ecosistema de juegos. Se trata de una llamada de atenci�n a la industria para que d� prioridad a las medidas de ciberseguridad proactivas y multiplataforma con el fin de adelantarse a esta alarmante tendencia."

Lo que destaca de la campa�a es que aprovecha la red fantasma Stargazers -en este caso, un conjunto de unos 200 repositorios de GitHub y m�s de 225 cuentas falsas- como vector de distribuci�n de GodLoader.

"Estas cuentas han protagonizado los repositorios maliciosos que distribuyen GodLoader, haci�ndolos parecer leg�timos y seguros", dijo Check Point. "Los repositorios se lanzaron en cuatro oleadas separadas, dirigidas principalmente a desarrolladores, jugadores y usuarios en general".

Se ha descubierto que los ataques, observados el 12 de septiembre, el 14 de septiembre, el 29 de septiembre y el 3 de octubre de 2024, emplean ejecutables Godot Engine, tambi�n conocidos como archivos de paquete (o .PCK), para soltar el malware cargador, que luego es responsable de descargar y ejecutar cargas �tiles de etapa final como RedLine Stealer y el minero de criptomoneda XMRig desde un repositorio Bitbucket.

Adem�s, el cargador incorpora funciones para eludir el an�lisis en entornos virtuales y sandboxed y a�adir toda la unidad C:\ a la lista de exclusiones de Microsoft Defender Antivirus para evitar la detecci�n de malware.

La empresa de ciberseguridad dijo que los artefactos GodLoader est�n orientados principalmente a atacar m�quinas Windows, aunque se�al� que es trivial adaptarlos para infectar sistemas macOS y Linux.

Es m�s, aunque el conjunto actual de ataques implica que los actores de la amenaza construyen ejecutables Godot Engine personalizados para la propagaci�n del malware, podr�a llevarse un paso m�s all� manipulando un juego leg�timo construido con Godot despu�s de obtener la clave de cifrado sim�trica utilizada para extraer el archivo .PCK.

Sin embargo, este tipo de ataque puede evitarse cambiando a un algoritmo de clave asim�trica (tambi�n conocido como criptograf�a de clave p�blica) que se basa en un par de claves p�blica y privada para cifrar y descifrar los datos.

En respuesta a los hallazgos, el equipo de seguridad de Godot dijo que el motor Godot es un sistema de programaci�n con un lenguaje de scripting y es similar a los tiempos de ejecuci�n Python y Ruby, instando a los usuarios a asegurarse de que los ejecutables descargados est�n firmados por una parte de confianza y evitar ejecutar software crackeado.

"Es posible escribir programas maliciosos en cualquier lenguaje de programaci�n�, se�al� en un comunicado. �No creemos que Godot sea particularmente m�s o menos adecuado para hacerlo que otros programas de este tipo".

La campa�a maliciosa sirve para recordar una vez m�s c�mo los actores de amenazas aprovechan con frecuencia los servicios y marcas leg�timos para eludir los mecanismos de seguridad, lo que obliga a los usuarios a descargar software s�lo de fuentes de confianza.

"Los actores de amenazas han utilizado las capacidades de scripting de Godot para crear cargadores personalizados que no son detectados por muchas soluciones de seguridad convencionales", dijo Check Point. "Dado que la arquitectura de Godot permite la entrega de carga �til agn�stica de plataforma, los atacantes pueden desplegar f�cilmente c�digo malicioso a trav�s de Windows, Linux y macOS, a veces incluso explorando las opciones de Android."

"La combinaci�n de un m�todo de distribuci�n altamente dirigido y una t�cnica discreta y no detectada ha dado lugar a tasas de infecci�n excepcionalmente altas. Este enfoque multiplataforma mejora la versatilidad del malware, dando a los actores de amenazas una poderosa herramienta que puede dirigirse f�cilmente a m�ltiples sistemas operativos. Este m�todo permite a los atacantes distribuir malware de forma m�s eficaz a trav�s de varios dispositivos, maximizando su alcance e impacto."

Fuente: thehackernews