Nel mondo della sicurezza informatica, le minacce sono in continua evoluzione e il nuovo vettore di attacco recentemente scoperto dai ricercatori di Check Point Research ne è un esempio. Questo metodo innovativo, impiega un loader chiamato “GodLoader” che sfrutta Godot Engine per il rilascio di malware.
Cos’è Godot Engine
Godot è una motore di gioco open-source molto popolare, utilizzato per creare giochi 2D e 3D. È noto per la sua flessibilità, l’interfaccia user-friendly e un set completo di strumenti. Godot supporta vari linguaggi di scripting, tra cui GDScript, VisualScript e C#, e permette agli sviluppatori di esportare giochi su diverse piattaforme come Windows, macOS, Linux, Android, iOS e HTML5.
La minaccia GodLoader
Negli attacchi osservati il 12 settembre, il 14 settembre, il 29 settembre e il 3 ottobre 2024, i cyber criminali hanno distribuito GodLoader attraverso una rete chiamata Stargazers Ghost Network, che funziona come Distribution as a Service (DaaS) utilizzando repository GitHub per diffondere il codice dannoso.
Una volta rilasciato, GodLoader sfruttando il motore Godot per eseguire script dannosi e rimanere inosservato dalla maggior parte dei software antivirus, successivamente carica il codice malevolo GDScript (Godot.pck, un eseguibile Godot Engine) per il download da un repository Bitbucket e l’esecuzione di payload di fase finale come RedLine Stealer e il miner di criptovaluta XMRig. Secondo lo schema di flusso riportato in figura, lo script impiega varie tecniche anti-sandbox ed emulazione prima di scaricare ed eseguire i payload.
Gli analisti CPR ritengono che la tecnica sin qui descritta avrebbe probabilmente già portato all’infezione di oltre 17.000 macchine, rappresentando una minaccia per i 1,2 milioni di utenti di giochi sviluppati con Godot. “Godot ha una comunità di sviluppatori vivace e in crescita che apprezza la sua natura open source e le sue potenti capacità. Oltre 2.700 sviluppatori hanno contribuito al motore di gioco Godot, mentre più di 1.550 sostenitori donano circa $ 61.500 ogni mese al Development Fund, assicurando il futuro del motore Godot. Su piattaforme come Discord, YouTube e altre piattaforme di social media, il motore Godot ha circa 80.000 follower che rimangono aggiornati sulle ultime notizie.”
Impatto e prevenzione
Il team di sicurezza Godot in una dichiarazione al riguardo ringrazia Check Point Research per aver seguito le linee guida di sicurezza della divulgazione responsabile, ma ritiene che questo vettore di attacco, non è specifico di Godot e non espone una vulnerabilità nel motore o per i suoi utenti.
“Godot Engine è un sistema di programmazione con un linguaggio di scripting. È simile, ad esempio, ai runtime Python e Ruby. È possibile scrivere programmi dannosi in qualsiasi linguaggio di programmazione. Non crediamo che Godot sia particolarmente più o meno adatto a farlo rispetto ad altri programmi simili.“
La scoperta di GodLoader evidenzia comunque l’importanza di mantenere buone pratiche di sicurezza informatica, soprattutto scaricando ed eseguendo software solo da fonti affidabili per proteggere i propri dispositivi da infezioni malware.
GodLoader può colpire dispositivi su diverse piattaforme, inclusi Windows, macOS, Linux, Android e iOS. Gli utenti sono pertanto invitati a scaricare ed eseguire software solo da siti ufficiali o piattaforme di distribuzione riconosciute (Steam, Epic Games Store, Google Play, Apple Store). Inoltre, è importante evitare di eseguire software craccato, che rappresenta un vettore di attacco primario per i cyber criminali.