GodLoader kötü amaçlı yazılımı, tespit edilmekten kaçınmak için popüler Godot oyun motorunun yeteneklerinden yararlanıyor. Kötü amaçlı yazılım şimdiden üç ayda 17.000'den fazla sisteme bulaşmayı başardı.
Check Point analistleri yeni bir tehdit keşfetti . Saldırganların Windows, macOS, Linux, Android ve iOS dahil olmak üzere tüm büyük platformlardaki oyunculara saldırmak için Godot Motorunu kullanabileceği konusunda uyarıyorlar.
Saldırganların Check Point'teki oyun motoruna olan ilgisi, Godot Engine çevresinde aktif ve hızla büyüyen bir geliştirici topluluğunun bulunmasıyla açıklanıyor.
Uzmanlar, "Godot oyun motorunun oluşturulmasına ve geliştirilmesine 2.700'den fazla geliştirici katkıda bulundu ve Discord, YouTube ve diğer sosyal ağlar gibi platformlarda Godot Engine'in en son haberleri takip eden yaklaşık 80.000 abonesi var" diye yazıyor.
Bilgisayar korsanları, GodLoader kötü amaçlı yazılımını, GitHub'daki birçok sözde meşru depoyu kullanarak faaliyetlerini gizleyen bir kötü amaçlı yazılım dağıtım hizmeti olan Stargazers Ghost Network aracılığıyla dağıttı. Uzmanların bu hizmet ve arkasındaki Stargazer Goblin grubu hakkında 2023 yılında detaylı bir şekilde konuştuğunu hatırlayalım.
Eylül ve Ekim 2024 arasında saldırganların, kurbanların sistemlerine GodLoader kötü amaçlı yazılımını dağıtmak için 225 Stargazer Ghost hesabı tarafından kontrol edilen 200'den fazla veri deposunu kullandığı bildirildi.
Bu süre zarfında Check Point, geliştiricilere ve oyunculara yönelik, kullanıcılardan GodLoader bulaşmış araçları ve oyunları indirmelerinin istendiği dört ayrı saldırı dalgası tespit etti.
Araştırmacılar aslında yalnızca Windows'u hedef alan GodLoader örneklerini keşfetmiş olsalar da, aynı zamanda GDScript'te bir PoC istismarı geliştirmeyi de başardılar; bu da kötü amaçlı yazılımın Linux veya macOS'a saldırmak üzere kolayca uyarlanabileceğini gösterdi.
Uzmanlar, GodLoader'ın Godot'nun esnekliğinden ve GDScript kodlama dilinin rastgele kod yürütme ve algılama sistemlerini atlama yeteneğinden yararlandığını açıklıyor. Bunu yapmak için kötü amaçlı yazılım, kötü amaçlı komut dosyalarını oyun varlıkları için kullanılan .pck dosyalarına yerleştirir.
Yani bu tür dosyalar indirildikten sonra kurbanların cihazlarında kötü amaçlı kod çalıştırarak saldırganların kimlik bilgilerini çalmasına veya ek veriler indirmesine olanak tanıyor. Örneğin bir durumda RedLine hırsızı, diğer durumda ise XMRig madencisiydi. Madenci konfigürasyonu, bu yılın mayıs ayında Pastebin'e yüklenen özel bir dosyada bulunuyordu. Bu dosya toplamda 206.913 kez görüntülendi.
“Siber suçlular, en az 29 Haziran 2024'ten bu yana, kötü amaçlı komutlar çalıştıran ve kötü amaçlı yazılım dağıtan GDScript kodunu yürütmek için Godot Motorunu kullanıyor. Check Point, bu tekniğin VirusTotal'da bulunan çoğu antivirüs aracını atlattığını ve bilgisayar korsanlarının yalnızca birkaç ay içinde 17.000'den fazla makineye virüs bulaştırmasına olanak tanıdığı konusunda uyarıyor. “Godot Motorunun esnekliği, onu siber suçluların hedefi haline getirdi ve GodLoader gibi platformlar arası gizli kötü amaçlı yazılımların, insanların açık kaynak platformlarına olan güvenini suistimal ederek hızla yayılmasına olanak sağladı. Godot ile geliştirilen oyunların 1,2 milyon kullanıcısı için bunun ciddi sonuçları var (sadece cihazları için değil, aynı zamanda oyun ekosisteminin bütünlüğü açısından da).”
Godot Engine güvenlik ekibinin bakımcısı ve üyesi Rémi Verschelde, Bleeping Computer'a durumla ilgili şu yorumu yaptı:
“Check Point raporunda da belirtildiği gibi güvenlik açığı Godot'ya özel değil. Godot Engine bir betik dili programlama sistemidir. Örneğin, çalışma zamanı Python ve Ruby'ye benzer. Kötü amaçlı programlar herhangi bir programlama dilinde yazılabilir. Bize göre Godot bu amaçlara diğer benzer programlardan ne daha fazla ne de daha az uygundur.
Oyunu veya Godot editörünü yüklemiş olan kullanıcılar risk altında değildir. Ancak yalnızca güvenilir kaynaklardan gelen yazılımları kullanmanızı öneririz."
