Actores maliciosos explotan vulnerabilidad en motor de juego para infectar miles de computadoras
Los hackers maliciosos han empleado el nuevo malware llamado GodLoader, el cual explota las capacidades de juego Godot, ampliamente utilizado para evadir la detección e infectar más de 17 mil sistemas en tan solo 3 meses.
Esto lo ha descubierto Check Point Research, que, al investigar los ataques, los actores de amenazas pueden usar este cargador de malware para atacar a gamers de todas las plataformas principales, incluidas iOS, Linux, Android, Windows y macOS.
También se utiliza para aprovechar la flexibilidad de Godot y sus capacidades de lenguaje de script, GDScript, para ejecutar código arbitrario y eludir los sistemas de detección, por medio de archivos .pck del motor del juego, los cuales empaquetan los activos de dicho juego para incrustar los scripts dañinos.
Una vez cargados, estos archivos creados con fines maliciosos activan código en los dispositivos de las víctimas. Esto permite a los ciberdelincuentes robar credenciales o descargar cargas útiles adicionales, incluido el minador de criptomonedas llamado XMRig. La configuración de este malware minero se ha alojado en un archivo “Pastebin” provado cargo hace unos meses, el cual fue visitado más de 200 mil veces durante la campaña maliciosa.
Desde al menos el mes de junio, los hackers maliciosos han estado aprovechando Godot Engine para ejecutar código GDScript que activa comandos igualmente maliciosos y distribuye malware. Esta técnica ha permanecido sin ser detectada por la mayoría de las herramientas antivirus en VirusTotal, infectando, posiblemente, más de 17 mil máquinas en tan solo unos meses, según las declaraciones de la empresa de investigación.
Godot tiene una comunidad vibrante y en crecimiento de desarrolladores que valoran la naturaleza del código abierto y sus potentes capacidades. Más de 2 mil desarrolladores han contribuido al motor de juegos de Godot, mientras que plataformas como Discord, YouTube y otras plataformas de redes sociales, el motor de Godot tiene alrededor de 80 mil seguidores que se mantienen actualizados acerca de las últimas noticias.
Los atacantes han distribuido el malware GodLoader mediante una distribución de malware como servicio o DaaS, la cual enmascara sus actividades empleando repositorios de GitHub, aparentemente legítimos.
Entre los meses de septiembre y octubre de este año, usaron más de 200 repositorios controlados por más de 220 cuentas de Stargazer Ghost, para implementar el malware en los sistemas de los objetivos, explotando la confianza de las posibles víctimas en plataformas de código abierto y repositorios de software aparentemente legítimos.
A lo largo de la campaña maliciosa, los investigadores detectaron 4 oleadas de ataques independientes contra desarrolladores y gamers en el período de tiempo comprendido, mencionado anteriormente. La campaña incitaba a dichos desarrolladores y gamers a descargar herramientas y juegos infectados.
Aunque los investigadores de seguridad solo descubrieron muestras de GodLoader dirigidas a sistemas Windows, también desarrollaron un código de explotación de prueba de concepto GDScrupt, el cual muestra la facilidad con la que el malware se puede adaptar para atacar sistemas basados en Linux y en macOS.
Stargazer Goblin, el actor de amenazas detrás de la plataforma DaaS Stargazers Ghost Network, utilizada en esta serie de ataques, fue observado por primera vez por empresas de ciberseguridad, promocionando este servicio de distribución de malware en la dark web en el mes de junio del año 2023. No obstante, es posible que haya estado activo desde, al menos, el año 2022, ganando más de 100 mil dólares desde que se lanzó este servicio.
