威胁行为者正在使用一种巧妙的新方法将恶意软件秘密传递到各种操作系统和平台:他们创建了一个使用开源游戏引擎Godot Engine的恶意软件加载器。该加载器被称为GodLoader,通过Stargazers Ghost Network分发,这是一个由GitHub帐户和存储库组成的广泛网络,提供恶意软件“即服务”分发。
据Check Point的研究人员称,到目前为止,已有17000多台机器感染了恶意加载器。当这些机器属于开发人员时,就会有额外的风险。他们指出:“随着开发人员经常访问和使用Godot Engine等开源平台进行游戏开发,无意中将恶意代码纳入其项目的可能性成为一个值得关注的问题。当游戏玩家下载和安装可能是用受损工具制作的游戏时,这种风险也会增加。”。
“潜在的攻击可能针对超过120万Godot开发游戏的用户。这些场景涉及利用合法的Godot可执行文件以mods或其他可下载内容的形式加载恶意脚本。”使用Godot引擎制作恶意软件加载器
Godot引擎是一个流行的免费开源2D和3D游戏引擎/开发平台,既可以在许多平台上运行,也可以将项目导出到Windows、Linux、macOS、Android、iOS、各种VR平台等。
它支持的编程语言包括GDScript,这是一种用于代码开发的自定义脚本语言,威胁行为者使用它来编写恶意代码。Check Point研究人员表示:“Godot引擎的利用取决于它对.pck文件的使用,这些文件捆绑了游戏资源,包括脚本和场景,用于分发。加载这些文件后,恶意GDScript可以通过内置的回调函数执行。”。
“此功能为攻击者提供了许多可能性,从下载额外的恶意软件到执行远程有效载荷,所有这些都不会被发现。由于GDScript是一种功能齐全的语言,威胁行为者具有许多功能,如反沙箱、反虚拟机措施和远程有效载荷执行,使恶意软件无法被发现。”新技术是如何工作的(来源:
Check Point Research)
研究人员发现了威胁行为者在Windows机器上丢弃加载器,但也创建了在macOS和Linux上工作的概念验证加载器,以确认这是可以做到的,并且很容易做到。他们指出:“Android加载器似乎也是可能的,但需要对Godot引擎进行修改。然而,由于苹果严格的App Store政策,iOS版本不太可能实现,这将使部署变得具有挑战性。”。
GodLoader配送
如前所述,威胁行为者选择Stargazers Ghost Network来分发恶意加载器,很可能是因为开发人员和游戏玩家习惯于在GitHub上搜索软件包和作弊行为。这个幽灵账户网络用于分发各种恶意软件,并以一种确保其长期生存的方式建立:
不同的账户有不同的角色——一些提供恶意下载链接,另一些提供恶意软件(在加密档案中),还有一些明星和订阅存储库(以提高其可见性、受欢迎程度和合法性)。Check Point的研究人员分享道:“为了分发GodLoader,使用了大约200个存储库和225多个Stargazer Ghost帐户。”。受害者认为他们正在下载付费软件或密钥生成器的破解版本。
相反,他们得到了GodLoader,然后下载并安装了XMRig加密货币矿工或RedLine infostealer(托管在bitbucket.org上)。至少自2024年6月29日以来,该计划背后的威胁行为者一直在使用GodLoader,而没有被反病毒工具标记。Check Point的研究人员表示:“将高度针对性的分发方法和谨慎、未被发现的技术相结合,导致了异常高的感染率。”
并警告说,VirusTotal中几乎所有的防病毒引擎都没有发现这种技术。