Mesin permainan sumber terbuka populer bernama Godot Engine disalahgunakan sebagai bagian dari yang baru Pemuat Dewa kampanye malware, menginfeksi lebih dari 17.000 sistem setidaknya sejak Juni 2024.
“Penjahat dunia maya telah memanfaatkan Godot Engine untuk mengeksekusi kode GDScript buatan yang memicu perintah jahat dan mengirimkan malware,” kata Check Point dalam analisis baru yang diterbitkan Rabu. “Teknik ini tetap tidak terdeteksi oleh hampir semua mesin antivirus di VirusTotal.”
Tidak mengherankan jika pelaku ancaman terus-menerus mencari alat dan teknik baru yang dapat membantu mereka menyebarkan malware sambil menghindari deteksi oleh kontrol keamanan, bahkan ketika para pembela HAM terus membangun pagar pembatas baru.
Tambahan terbaru adalah Godot Engine, platform pengembangan game yang memungkinkan pengguna mendesain game 2D dan 3D lintas platform, termasuk Windows, macOS, Linux, Android, iOS, PlayStation, Xbox, Nintendo Switch, dan web.
Dukungan multi-platform juga menjadikannya implementasi yang menarik di tangan musuh yang kini dapat memanfaatkannya untuk menargetkan dan menginfeksi perangkat dalam skala besar, sehingga secara efektif memperluas permukaan serangan.
Yang membuat kampanye ini menonjol adalah kampanye ini memanfaatkan Stargazers Ghost Network – dalam hal ini, kumpulan sekitar 200 repositori GitHub dan lebih dari 225 akun palsu – sebagai vektor distribusi untuk GodLoader.
“Akun-akun ini telah menjadi bintang bagi repositori berbahaya yang mendistribusikan GodLoader, menjadikannya tampak sah dan aman,” kata Check Point. “Repositori dirilis dalam empat gelombang terpisah, terutama menargetkan pengembang, gamer, dan pengguna umum.”
Serangan tersebut, yang diamati pada 12 September, 14 September, 29 September, dan 3 Oktober 2024, diketahui menggunakan executable Godot Engine, juga dikenal sebagai file paket (atau .PCK), untuk menjatuhkan malware loader, yang kemudian bertanggung jawab. untuk mengunduh dan mengeksekusi muatan tahap akhir seperti RedLine Stealer dan penambang mata uang kripto XMRig dari repositori Bitbucket.
Selain itu, pemuat ini menggabungkan fitur untuk melewati analisis di lingkungan kotak pasir dan virtual dan menambahkan seluruh drive C:\ ke daftar pengecualian Antivirus Microsoft Defender untuk mencegah deteksi malware.
Perusahaan keamanan siber mengatakan artefak GodLoader terutama diarahkan untuk menargetkan mesin Windows, meskipun mereka mencatat bahwa mengadaptasinya untuk menginfeksi sistem macOS dan Linux adalah hal yang mudah.
Terlebih lagi, meskipun rangkaian serangan saat ini melibatkan pelaku ancaman yang membuat executable Godot Engine khusus untuk penyebaran malware, serangan ini dapat ditingkatkan dengan merusak game resmi buatan Godot setelah mendapatkan kunci enkripsi simetris yang digunakan untuk mengekstrak .PCK mengajukan.
Namun, serangan semacam ini dapat dihindari dengan beralih ke algoritme kunci asimetris (alias kriptografi kunci publik) yang mengandalkan pasangan kunci publik dan privat untuk mengenkripsi/mendekripsi data.
Kampanye jahat ini memberikan pengingat lain tentang bagaimana pelaku ancaman sering kali memanfaatkan layanan dan merek yang sah untuk menghindari mekanisme keamanan, sehingga mengharuskan pengguna mengunduh perangkat lunak hanya dari sumber tepercaya.
“Pelaku ancaman telah memanfaatkan kemampuan skrip Godot untuk membuat pemuat khusus yang tetap tidak terdeteksi oleh banyak solusi keamanan konvensional,” kata Check Point. “Karena arsitektur Godot memungkinkan pengiriman muatan platform-agnostic, penyerang dapat dengan mudah menyebarkan kode berbahaya di Windows, Linux, dan macOS, bahkan terkadang menjelajahi opsi Android.”
“Menggabungkan metode distribusi yang sangat bertarget dan teknik yang rahasia dan tidak terdeteksi telah menghasilkan tingkat infeksi yang sangat tinggi. Pendekatan lintas platform ini meningkatkan keserbagunaan malware, memberikan pelaku ancaman alat yang ampuh yang dapat dengan mudah menargetkan beberapa sistem operasi. Metode ini memungkinkan penyerang untuk mengirimkan malware secara lebih efektif di berbagai perangkat, memaksimalkan jangkauan dan dampaknya.”