Vírus GodLoader udrel! Viac ako 17-tisíc zariadení je infikovaných. Títo používatelia sú najviac ohrození!
Bezpečnostní analytici odhalili novú hackerskú kampaň, ktorá zneužíva populárny engine Godot na šírenie zákerného malvéru GodLoader. V ohrození sú hlavne hráči hier a to bez ohľadu na platformu.
Bezpečnostní analytici z CheckPoint odhalili novú kybernetickú hrozbu, ktorá zneužíva doteraz nepozorovaný mechanizmus na to, aby aktivovala škodlivý kód.
Nový spôsob útoku zneužíva open-source herný engine Godot, ktorý je známy tým, že ponúka bohatú nádielku rôznych funkcií. Vývojári tento engine obľubujú, lebo im dovoľuje vytvárať 2D a 3D hry, pričom je flexibilný a má priateľské užívateľské rozhranie. Ďalšou výhodou tohto herného enginu je to, že vývojár môže svoje dielo exportovať na rôzne platformy, napríklad Windows, macOS, Linux, Android alebo iOS.
Godot využíva skriptovací jazyk podobný Pythonu, ktorý sa nazýva GDSScript a vznikol špecificky na vývoj hier. Naozaj teda neprekvapí, že je medzi vývojármi hier čoraz obľúbenejší. Momentálne ho podľa štatistík podporuje viac ako 2 700 vývojárov a mesačne táto platforma vyzbiera približne 61-tisíc amerických dolárov, ktoré slúžia na ďalší rozvoj enginu.
Popularitu enginu Godot postrehli aj hackeri
Túto prudko rastúcu popularitu postrehli aj kyberzločinci, ktorí začali minimálne od konca júna zneužívať Godot engine na spustenie škodlivého GDS kódu. Tento kód sťahuje do infikovaných zariadení malvér. Bezpečnostní experti vysvetľujú, že táto metóda útoku ostávala dlho nepozorovaná množstvom antivírových nástrojov služby VirusTotal. Predpokladá sa, že falošné GDS kódy infikovali viac ako 17-tisíc zariadení len v posledných mesiacoch.
Na šírenie malvéru používali kyberzločinci loader GodLoader, ktorý sa šíril cez Stargazers Ghost Network. Ide o sieť, ktorá operuje systémom DaaS (Distribution-as-a-Service, teda distribúcia ako služba). Vďaka tomuto systému sa môže malvér šíriť ako “legitímny” softvér cez platformu GitHub.
Neprehliadni
Škodlivý softvér sa šíril v štyroch odlišných vlnách, pričom primárne cielil na vývojárov, hráčov a všeobecných užívateľov. Útoky prebiehali naprieč celým septembrom a posledná vlna prebehla začiatkom októbra.
“Herný engine Godot využíva .pck súbory na zabalenie herných assetov, skriptov, scén, textúr, zvukov a iných dát. Hra môže tieto zdroje načítať dynamicky, čím umožňuje vývojárom distribuovať aktualizácie DLC obsah alebo ďalšie herné assety bez toho, aby upravovali základný spustiteľný súbor hry. Okrem toho všetkého môže tento balík obsahovať aj GDScript súbor. Tento súbor sa spúšťa keď sa načíta .pck súbor a vďaka tomu môže hra pridať novú funkcionalitu alebo modifikovať existujúce správania,” vysvetľujú bezpečnostní analytici.
Kyberzločinci zneužívajú to, ako Godot Engine funguje a ako funguje jeho GDScript. Script používajú na spustenie škodlivého kódu, stiahnutie malvéru a jeho spustenie. Počas celého tohto procesu ich neodhalia bezpečnostné mechanizmy. Keďže je GDScript plným programovacím jazykom, hackerom poskytuje množstvo funkcionalít. Cez GDScript sa vedia vyhnúť sandbox prostrediu a spustiť na diaľku škodlivý softvér.
Útoky sa môžu rozšíriť aj na ďalšie platformy
V rámci útoku hackeri vytvoria škodlivý GDScript kód a následne ho načítajú v Godot Engine. Bezpečnostní analytici postrehli šírenie malvéru na platforme Windows, no keďže ide o multiplatformový herný engine, útoky sa môžu objaviť aj na iných platformách.
Bezpečnostní experti varujú, že útoky sa jednoducho môžu objaviť aj na Linux a macOS platformách. Hackeri by mohli zaútočiť aj na Android, no tam sa vyžadujú úpravy na to, aby mohol útok fungovať.
Zatiaľ útoky pozorovali len so spustiteľnými Godot Engine súbormi, ktoré hackeri sami vyrobili. V budúcnosti ale existuje šanca, že sa môže hackerom podariť infikovať legitímne hry na engine Godot. To dokážu tým, že nahradia bezpečný .pck súbor. Druhou možnosťou je to, že nahradia len časť .pck súboru škodlivou sekciou. Bezpečnostní analytici ale momentálne nepozorujú žiadne útoky, ktoré by napádali legitímne hry.
Na ochranu pred týmto útokom radia analytici aktualizovať operačný systém a všetky aplikácie. Zároveň by si si mal dávať pozor na to, ak ti príde nejaký podozrivý mail alebo SMS správa.
Komentáre