El motor Godot se utiliza para propagar malware en Windows, macOS y Linux

Iniciado por AXCESS, Noviembre 30, 2024, 11:27:34 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Check Point Research (CPR) ha publicado su última investigación sobre una novedosa técnica multiplataforma empleada por cibercriminales para explotar el popular motor de juegos de código abierto Godot y entregar una carga útil maliciosa recién descubierta denominada GodLoader después de eludir las medidas de seguridad tradicionales.

El aspecto preocupante es la funcionalidad multiplataforma de GodLoader, lo que lo hace efectivo en macOS, Windows, Linux, iOS y Android. Aunque está diseñado para Windows, se puede utilizar en Linux y macOS con ajustes mínimos. Según se informa, el malware se distribuye a través de Stargazers Ghost Network en GitHub, utilizando más de 200 repositorios y 225 cuentas entre septiembre y octubre de 2024.

"El actor de amenazas detrás de este malware lo ha estado utilizando desde el 29 de junio de 2024, infectando más de 17.000 máquinas", y un ataque puede poner en riesgo a 1,2 millones de usuarios de juegos desarrollados por Godot, señalaron los investigadores en la publicación del blog.

Según la investigación de CPR, los cibercriminales explotan la flexibilidad del lenguaje de programación de Godot, GDScript, e incorporan código malicioso en los recursos del juego, ejecutándolo cuando se inicia el juego. Se trata de un enfoque sigiloso que permite a los atacantes eludir la detección de antivirus y comprometer los sistemas sin hacer sonar las alarmas.

Investigaciones posteriores revelaron que utiliza la detección de máquinas virtuales y sandbox, así como exclusiones de Microsoft Defender, para evitar ser detectado. El malware se alojó en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta y se distribuyó en cuatro oleadas de ataques, con cargas útiles iniciales que incluían RedLine Stealer y mineros de criptomonedas XMRig.

Para su información, Godot es una poderosa herramienta para el desarrollo de juegos que permite a los desarrolladores agrupar recursos y scripts del juego en archivos .pck, que contienen los recursos del juego, incluidas imágenes, sonidos y scripts. Al inyectar código GDScript malicioso en estos archivos .pck, los atacantes pueden engañar al motor del juego para que ejecute comandos dañinos.

Tan pronto como el juego carga el archivo .pck infectado, el script oculto entra en acción, descargando e implementando cargas útiles de malware adicionales en el dispositivo de la víctima.

El flujo de ataque (Vía CPR)
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Declaración de Godot Engine

El equipo de desarrollo de Godot Engine, en respuesta, emitió una declaración, explicando que GodLoader no explota una debilidad específica en Godot en sí mismo porque, como cualquier lenguaje de programación (por ejemplo, Python o Ruby), Godot también permite la creación de programas buenos y malos. Aunque el malware explota el lenguaje de scripting de Godot (GDScript) para entregar su carga útil, esto no hace que Godot sea inherentemente inseguro.

El equipo también señaló que no se trata de un exploit de un solo clic porque el malware GodLoader engaña a los usuarios para que descarguen/ejecuten un archivo aparentemente inofensivo (normalmente un archivo .pck disfrazado de un crack de software). Este archivo no funcionaría por sí solo y los atacantes también deben proporcionar el entorno de ejecución de Godot (archivo .exe) por separado para que tenga éxito. Esto significa que los usuarios tienen que realizar varios pasos para instalar el malware, lo que hace que sea menos probable que sea un exploit de un solo clic.

No obstante, el equipo de Godot enfatiza la importancia de adoptar buenos hábitos de seguridad y de descargar archivos de fuentes confiables, como sitios web oficiales, plataformas de distribución establecidas o personas de confianza. Los usuarios de Windows y macOS deben verificar que los archivos ejecutables estén firmados y certificados por una entidad de confianza, y evitar usar software pirateado, ya que es un objetivo común para los actores maliciosos.

Fuente
:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta