Check Point Software Technologies kam einer neuen Hacker-Masche auf die Spur. Mithilfe der Gaming-Engine „Godot Engine“ können Cyberkriminelle verschiedene Betriebssysteme von vernetzten Geräten attackieren, darunter Windows, MacOS, Linux, Android und iOS.
Verbreitet wird der schädliche Code von dem Malware-Netzwerk „Stargazers Ghost Network“, die Check Point vor einigen Monaten untersucht hatte, über die Open-Source-Plattform Github. In drei Monaten wurden über 17 000 Geräte infiziert. Die Auswirkung kann möglicherweise über 1,2 Millionen von Nutzern erstellte Videospiele betreffen, die mit der Godot-Engine entwickelt worden sind, da legitime Godot-Ausführdateien missbraucht werden, um betrügerische Inhalte über Mods (Modifikationen für Videospiele) und DLCs (downloadable content, Zusatzinhalte) zu laden.
Das schädliche Script der Hacker hört auf den Namen „GodLoader“, welches zusammen mit Payloads auf die Ziel-Geräte gebracht wird. Der Diebstahl von Anmeldedaten und die Installation von Ransomware sind das Ziel der Cyber-Kriminellen.
Godloader bleibt von vielen Sicherheitstools unentdeckt
Mit der Godot-Engine haben sich die Hacker ein überlegtes Mittel zum Zweck ausgesucht: Die Godot-Engine ist eine Open-Source-Plattform zur Spieleentwicklung, die für ihre Flexibilität und ihr umfassendes Toolset geschätzt wird. Sie wurde für die Erstellung von 2D- und 3D-Spielen entwickelt und unterstützt verschiedene Exportformate, die es Entwicklern ermöglichen, unterschiedliche Plattformen wie Windows, MacOS, Linux, Android, iOS und HTML5 zu nutzen. Mit einer benutzerfreundlichen Oberfläche und einer Python-ähnlichen Skript-Sprache namens GDScript unterstützt Godot die Entwickler aller Ebenen. Darüber hinaus unterstreicht die aktive Community mit über 2700 Mitwirkenden und 80 000 Followern in den sozialen Netzwerken die Beliebtheit und den engagierten Support. Genau diese Anziehungskraft wird nun jedoch von Cyber-Kriminellen ausgenutzt.
Hacker haben die Skript-Fähigkeiten von Godot genutzt, um benutzerdefinierte Loader, Godloader genannt, zu erstellen, die von vielen herkömmlichen Sicherheitslösungen unentdeckt bleiben. Da die Architektur von Godot eine plattformunabhängige Bereitstellung von Nutzdaten ermöglicht, können Angreifer bösartigen Code problemlos bereitstellen. Die Einfachheit von GDScript in Kombination mit der Fähigkeit von Godot, sich in verschiedene Betriebssysteme zu integrieren, ermöglicht es den Angreifern obendrein, herkömmliche Erkennungsmethoden zu umgehen. Seit dem 29. Juni 2024 hat sich eine neue Technik, die den bösartigen Godloader nutzt, der Erkennung durch die meisten Antiviren-Tools entzogen und Berichten zufolge innerhalb von drei bis vier Monaten mehr als 17 000 Rechner infiziert.
Die Ausnutzung der Godot-Engine hängt von der Verwendung von PCK-Dateien ab, in denen Spielinhalte, einschließlich Skripte und Szenen, für die Verteilung gebündelt werden. Wenn diese Dateien geladen wurden, kann das schädliche GDScript über die integrierte Callback-Funktion ausgeführt werden. Diese Funktion bietet Angreifern viele Möglichkeiten, vom Herunterladen zusätzlicher Malware bis hin zur Ausführung von Payloads. Da es sich bei GDScript um eine voll funktionsfähige Sprache handelt, stehen den Hackern viele Funktionen, wie Anti-Sandbox, Maßnahmen gegen virtuelle Maschinen und die Ausführung von Remote-Payloads, zur Verfügung, so dass die Malware unentdeckt bleiben kann.
Spieleentwickler infizieren unwissentlich ihre Projekte und damit die Spieler
Der Loader nutzt das Stargazers-Ghost-Network, ein ausgeklügeltes Distribution-as-a-Service-(DaaS)-Framework, das die Verbreitung von Malware über scheinbar legitime Github-Repositories verschleiert. Von September bis Oktober 2024 wurde Godloader durch über 200 Repositories verbreitet, die von mehr als 225 Stargazer-Ghost-Konten unterstützt wurden, welche die Sichtbarkeit dieser Repositories künstlich erhöht haben, indem sie diese markierten. Auf diese Weise wird der Anschein von Legitimität erweckt, was Entwickler und Spieler dazu verleitet, diese zu nutzen. Die Repositories wurden in vier separaten Wellen verteilt und veröffentlicht, die sich in erster Linie an Entwickler und Gamer richteten.
Die Auswirkungen dieser neuen Bedrohung sind erheblich. Da Entwickler häufig auf Open-Source-Plattformen wie die Godot-Engine zugreifen und diese für die Spieleentwicklung nutzen, ist die Möglichkeit, unwissentlich schädlichen Code in ein Projekt einzubauen, hoch. Auch für Spieler besteht ein erhöhtes Risiko, da sie Spiele herunterladen und installieren, die möglicherweise mit diesen verseuchten Tools entwickelt wurden. Darüber hinaus hat der Cyber-Kriminelle, der hinter diesem Angriff steht, Godloader über das Stargazers-Ghost-Network verbreitet, was ein hohes Maß an Raffinesse und Erfolg bei seinen Kampagnen beweist. Das Netzwerk nutzt das Vertrauen in Open-Source- und legitime Software-Repositories aus, um Malware unauffällig zu verbreiten. Indem es sich als seriöse Anwendungen oder Tools tarnt, lockt das Netzwerk ahnungslose Benutzer an, die vermeintlich sichere Software herunterladen und installieren wollen. Auf diese Weise kann sich die Malware weit und schnell verbreiten, so dass schnell Tausende von Benutzern betroffen sind.
Der Einsatz einer gezielten Verbreitungsstrategie in Verbindung mit einer verdeckten, nicht nachweisbaren Methode hat die Infektionsraten deutlich erhöht. Diese plattformübergreifende Technik erhöht die Anpassungsfähigkeit der Malware und bietet Hackern eine Verbreitungsmethode, die auf verschiedene Betriebssysteme zielen kann. Infolgedessen können sie die Malware effizienter auf diversen Geräten einsetzen und so ihre Reichweite und Wirksamkeit erhöhen.
Die Godloader-Technik ist ein gefährlicher Schritt in Richtung verdeckter Aktivitäten. Um die Risiken solcher Bedrohungen zu verringern, ist es wichtig, Betriebssysteme und Anwendungen regelmäßig mit aktuellen Patches und anderen Maßnahmen zu versehen und zu schützen. Nutzer sollten sich vor unerwarteten E-Mails oder Nachrichten mit Links in Acht nehmen, insbesondere wenn sie von unbekannten Quellen stammen. Schließlich kann die Kontaktaufnahme mit Sicherheitsexperten bei Fragen oder Bedenken wertvolle Einblicke und Unterstützung bei der Bewältigung möglicher Sicherheitsprobleme bieten.
Info: Weitere Details und technische Einzelheiten finden sich hier: https://research.checkpoint.com/2024/gaming-engines-an-undetected-playground-for-malware-loaders/
#CheckPoint
