Vírus GodLoader udrel! Viac ako 17-tisíc zariadení je infikovaných. Títo používatelia sú najviac ohrození!

Bezpečnostní analytici odhalili novú hackerskú kampaň, ktorá zneužíva populárny engine Godot na šírenie zákerného malvéru GodLoader. V ohrození sú hlavne hráči hier a to bez ohľadu na platformu.

Hackeri zneužívajú populárny herný engine Godot na šírenie malvéru
Zdroj: Vosveteit.sk, AI

Bezpečnostní analytici z CheckPoint odhalili novú kybernetickú hrozbu, ktorá zneužíva doteraz nepozorovaný mechanizmus na to, aby aktivovala škodlivý kód.  

Nový spôsob útoku zneužíva open-source herný engine Godot, ktorý je známy tým, že ponúka bohatú nádielku rôznych funkcií. Vývojári tento engine obľubujú, lebo im dovoľuje vytvárať 2D a 3D hry, pričom je flexibilný a má priateľské užívateľské rozhranie. Ďalšou výhodou tohto herného enginu je to, že vývojár môže svoje dielo exportovať na rôzne platformy, napríklad Windows, macOS, Linux, Android alebo iOS.  

Odoberaj Vosveteit.sk cez Telegram a prihlás sa k odberu správ

Godot využíva skriptovací jazyk podobný Pythonu, ktorý sa nazýva GDSScript a vznikol špecificky na vývoj hier. Naozaj teda neprekvapí, že je medzi vývojármi hier čoraz obľúbenejší. Momentálne ho podľa štatistík podporuje viac ako 2 700 vývojárov a mesačne táto platforma vyzbiera približne 61-tisíc amerických dolárov, ktoré slúžia na ďalší rozvoj enginu.  

nebezpecna aplikacia virus stahovanie aplikacii
Zdroj: Vosveteit.sk, dall·E

Popularitu enginu Godot postrehli aj hackeri

Túto prudko rastúcu popularitu postrehli aj kyberzločinci, ktorí začali minimálne od konca júna zneužívať Godot engine na spustenie škodlivého GDS kódu. Tento kód sťahuje do infikovaných zariadení malvér. Bezpečnostní experti vysvetľujú, že táto metóda útoku ostávala dlho nepozorovaná množstvom antivírových nástrojov služby VirusTotal. Predpokladá sa, že falošné GDS kódy infikovali viac ako 17-tisíc zariadení len v posledných mesiacoch.  

Na šírenie malvéru používali kyberzločinci loader GodLoader, ktorý sa šíril cez Stargazers Ghost Network. Ide o sieť, ktorá operuje systémom DaaS (Distribution-as-a-Service, teda distribúcia ako služba). Vďaka tomuto systému sa môže malvér šíriť ako “legitímny” softvér cez platformu GitHub.  

Škodlivý softvér sa šíril v štyroch odlišných vlnách, pričom primárne cielil na vývojárov, hráčov a všeobecných užívateľov. Útoky prebiehali naprieč celým septembrom a posledná vlna prebehla začiatkom októbra.  

“Herný engine Godot využíva .pck súbory na zabalenie herných assetov, skriptov, scén, textúr, zvukov a iných dát. Hra môže tieto zdroje načítať dynamicky, čím umožňuje vývojárom distribuovať aktualizácie DLC obsah alebo ďalšie herné assety bez toho, aby upravovali základný spustiteľný súbor hry. Okrem toho všetkého môže tento balík obsahovať aj GDScript súbor. Tento súbor sa spúšťa keď sa načíta .pck súbor a vďaka tomu môže hra pridať novú funkcionalitu alebo modifikovať existujúce správania,” vysvetľujú bezpečnostní analytici.  

Kyberzločinci zneužívajú to, ako Godot Engine funguje a ako funguje jeho GDScript. Script používajú na spustenie škodlivého kódu, stiahnutie malvéru a jeho spustenie. Počas celého tohto procesu ich neodhalia bezpečnostné mechanizmy. Keďže je GDScript plným programovacím jazykom, hackerom poskytuje množstvo funkcionalít. Cez GDScript sa vedia vyhnúť sandbox prostrediu a spustiť na diaľku škodlivý softvér.  

Hackeri opäť používajú falošnú IT podporu, aby útočili na svoje obete
Zdroj: Vosveteit.sk, AI

Útoky sa môžu rozšíriť aj na ďalšie platformy

V rámci útoku hackeri vytvoria škodlivý GDScript kód a následne ho načítajú v Godot Engine. Bezpečnostní analytici postrehli šírenie malvéru na platforme Windows, no keďže ide o multiplatformový herný engine, útoky sa môžu objaviť aj na iných platformách.  

Bezpečnostní experti varujú, že útoky sa jednoducho môžu objaviť aj na Linux a macOS platformách. Hackeri by mohli zaútočiť aj na Android, no tam sa vyžadujú úpravy na to, aby mohol útok fungovať.  

Zatiaľ útoky pozorovali len so spustiteľnými Godot Engine súbormi, ktoré hackeri sami vyrobili. V budúcnosti ale existuje šanca, že sa môže hackerom podariť infikovať legitímne hry na engine Godot. To dokážu tým, že nahradia bezpečný .pck súbor. Druhou možnosťou je to, že nahradia len časť .pck súboru škodlivou sekciou. Bezpečnostní analytici ale momentálne nepozorujú žiadne útoky, ktoré by napádali legitímne hry.  

Na ochranu pred týmto útokom radia analytici aktualizovať operačný systém a všetky aplikácie. Zároveň by si si mal dávať pozor na to, ak ti príde nejaký podozrivý mail alebo SMS správa.  

Prihlás sa k odberu správ z Vosveteit.sk cez Google správy

Komentáre