Un moteur de jeu open source populaire appelé Godot Engine est utilisé à mauvais escient dans le cadre d’un nouveau DieuLoader campagne de malware, infectant plus de 17 000 systèmes depuis au moins juin 2024.
« Les cybercriminels profitent du moteur Godot pour exécuter du code GDScript contrefait qui déclenche des commandes malveillantes et diffuse des logiciels malveillants », Check Point dit dans une nouvelle analyse publiée mercredi. « La technique reste indétectée par presque tous les moteurs antivirus de VirusTotal. »
Il n’est pas surprenant que les acteurs malveillants soient constamment à la recherche de nouveaux outils et techniques qui peuvent les aider à diffuser des logiciels malveillants tout en contournant la détection par les contrôles de sécurité, alors même que les défenseurs continuent d’ériger de nouveaux garde-fous.
Le plus récent ajout est Moteur Godotune plateforme de développement de jeux qui permet aux utilisateurs de concevoir des jeux 2D et 3D sur toutes les plateformesnotamment Windows, macOS, Linux, Android, iOS, PlayStation, Xbox, Nintendo Switch et le Web.
La prise en charge multiplateforme en fait également un outil attrayant entre les mains des adversaires qui peuvent désormais l’exploiter pour cibler et infecter des appareils à grande échelle, élargissant ainsi efficacement la surface d’attaque.
« La flexibilité du moteur Godot en a fait une cible pour les cybercriminels, permettant aux logiciels malveillants furtifs et multiplateformes comme GodLoader de se propager rapidement en exploitant la confiance dans les plates-formes open source », a déclaré Eli Smadja, responsable du groupe de recherche en sécurité chez Check Point Software Technologies. une déclaration partagée avec The Hacker News.
« La flexibilité du moteur Godot en a fait une cible pour les cybercriminels, permettant à des logiciels malveillants furtifs et multiplateformes comme GodLoader de se propager rapidement en exploitant la confiance dans les plateformes open source. Pour les 1,2 million d’utilisateurs de jeux développés par Godot, les implications sont profondes : – pas seulement pour leurs appareils, mais aussi pour l’intégrité de l’écosystème du jeu lui-même. Il s’agit d’un signal d’alarme pour que l’industrie donne la priorité à des mesures de cybersécurité proactives et multiplateformes afin de garder une longueur d’avance sur cette tendance alarmante.
Ce qui distingue la campagne, c’est qu’elle exploite le Stargazers Ghost Network – dans ce cas, un ensemble d’environ 200 référentiels GitHub et plus de 225 faux comptes – comme vecteur de distribution pour GodLoader.
« Ces comptes mettent en vedette les référentiels malveillants qui distribuent GodLoader, ce qui les fait paraître légitimes et sûrs », a déclaré Check Point. « Les référentiels ont été publiés en quatre vagues distinctes, ciblant principalement les développeurs, les joueurs et les utilisateurs généraux. »
Il a été constaté que les attaques, observées les 12 septembre, 14 septembre, 29 septembre et 3 octobre 2024, utilisaient des exécutables du moteur Godot, également appelés fichiers pack (ou .PCK), pour supprimer le logiciel malveillant du chargeur, qui est alors responsable. pour télécharger et exécuter des charges utiles de phase finale telles que RedLine Stealer et le mineur de crypto-monnaie XMRig à partir d’un référentiel Bitbucket.
De plus, le chargeur intègre des fonctionnalités permettant de contourner l’analyse dans les environnements sandbox et virtuels et d’ajouter l’intégralité du lecteur C:\ à l’antivirus Microsoft Defender. liste d’exclusions pour empêcher la détection de logiciels malveillants.
La société de cybersécurité a déclaré que les artefacts GodLoader sont principalement destinés au ciblage des machines Windows, même si elle a noté qu’il était trivial de les adapter pour infecter les systèmes macOS et Linux.
De plus, même si l’ensemble actuel d’attaques implique que les acteurs de la menace créent des exécutables personnalisés du moteur Godot pour la propagation des logiciels malveillants, ils pourraient aller encore plus loin en falsifiant un jeu légitime construit par Godot après avoir obtenu l’autorisation. clé de chiffrement symétrique utilisé pour extraire le fichier .PCK.
Ce type d’attaque peut toutefois être évité en passant à un algorithme à clé asymétrique (c’est-à-dire cryptographie à clé publique) qui s’appuie sur une paire de clés publique et privée pour chiffrer/déchiffrer les données.
Cette campagne malveillante rappelle une fois de plus comment les acteurs malveillants exploitent fréquemment des services et des marques légitimes pour échapper aux mécanismes de sécurité, obligeant les utilisateurs à télécharger des logiciels uniquement à partir de sources fiables.
« Les acteurs malveillants ont utilisé les capacités de script de Godot pour créer des chargeurs personnalisés qui ne sont pas détectés par de nombreuses solutions de sécurité conventionnelles », a déclaré Check Point. « Étant donné que l’architecture de Godot permet une livraison de charge utile indépendante de la plate-forme, les attaquants peuvent facilement déployer du code malveillant sur Windows, Linux et macOS, explorant parfois même les options Android. »
« La combinaison d’une méthode de distribution très ciblée et d’une technique discrète et non détectée a abouti à des taux d’infection exceptionnellement élevés. Cette approche multiplateforme améliore la polyvalence des logiciels malveillants, offrant ainsi aux auteurs de menaces un outil puissant qui peut facilement cibler plusieurs systèmes d’exploitation. Cette méthode permet aux attaquants de les logiciels malveillants plus efficacement sur divers appareils, maximisant ainsi leur portée et leur impact.