Les pirates ont utilisé un nouveau malware GodLoader exploitant les capacités du moteur de jeu Godot largement utilisé pour échapper à la détection et infecter plus de 17 000 systèmes en seulement trois mois.
Comme l’a révélé Check Point Research lors de l’enquête sur les attaques, les auteurs de menaces peuvent utiliser ce chargeur de logiciels malveillants pour cibler les joueurs sur toutes les principales plates-formes, y compris Windows, macOS, Linux, Android et iOS.
Il est également utilisé pour tirer parti de la flexibilité de Godot et de ses capacités de langage de script GDScript pour exécuter du code arbitraire et contourner les systèmes de détection à l’aide du moteur de jeu .fichiers pck, qui regroupent les ressources du jeu, pour intégrer des scripts nuisibles.
Une fois chargés, les fichiers conçus de manière malveillante déclenchent un code malveillant sur les appareils des victimes, permettant aux attaquants de voler des informations d’identification ou de télécharger des charges utiles supplémentaires, y compris le mineur de crypto XMRig. La configuration de ce malware mineur a été hébergée sur un fichier Pastebin privé téléchargé en mai, qui a été visité 206 913 fois au cours de la campagne.
« Depuis au moins le 29 juin 2024, les cybercriminels profitent du moteur Godot pour exécuter du code GDScript contrefait qui déclenche des commandes malveillantes et fournit des logiciels malveillants. Cette technique n’a pas été détectée par la plupart des outils antivirus sur VirusTotal, infectant peut-être plus de 17 000 machines en quelques mois seulement », selon Check Point.
« Godot a une communauté dynamique et croissante de développeurs qui apprécient sa nature open source et ses puissantes capacités. Plus de 2 700 développeurs ont contribué au moteur de jeu Godot, « tandis que » sur des plateformes comme Discord, YouTube et d’autres plateformes de médias sociaux, le moteur Godot compte environ 80 000 abonnés qui se tiennent au courant des dernières nouvelles. »
Les attaquants ont livré le logiciel malveillant GodLoader via le réseau fantôme Stargazers, une distribution de logiciels malveillants en tant que service (DaaS) qui masque ses activités à l’aide de référentiels GitHub apparemment légitimes.
Entre septembre et octobre 2024, ils ont utilisé plus de 200 référentiels contrôlés par plus de 225 comptes fantômes Stargazer pour déployer le logiciel malveillant sur les systèmes des cibles, exploitant la confiance des victimes potentielles dans les plates-formes open source et les référentiels de logiciels apparemment légitimes.
Tout au long de la campagne, Check Point a détecté quatre vagues d’attaques distinctes contre les développeurs et les joueurs entre le 12 septembre et le 3 octobre, les incitant à télécharger des outils et des jeux infectés.
Alors que les chercheurs en sécurité n’ont découvert que des échantillons de GodLoader ciblant les systèmes Windows, ils ont également développé un code d’exploitation de validation de principe GDScript montrant avec quelle facilité le logiciel malveillant peut être adapté pour attaquer les systèmes Linux et macOS.
Stargazer Goblin, l’acteur menaçant à l’origine de la plate-forme DaaS Stargazers Ghost Network utilisée dans ces attaques, a été observé pour la première fois par Check Point faisant la promotion de ce service de distribution de logiciels malveillants sur le dark Web en juin 2023. Cependant, il est probablement actif depuis au moins août 2022, gagnant plus de 100 000 $depuis le lancement de ce service.
Le réseau fantôme Stargazers utilise plus de 3 000 comptes « fantômes » GitHub pour créer des réseaux de centaines de référentiels qui peuvent être utilisés pour diffuser des logiciels malveillants (principalement des voleurs d’informations comme RedLine, Lumma Stealer, Rhadamanthys, RisePro et Atlantida Stealer) et star, fork, et abonnez-vous à ces dépôts malveillants pour les pousser vers la section tendance de GitHub et augmenter leur légitimité apparente.