GodLoader: La nueva amenaza que utiliza Godot Engine

Los actores de amenazas continúan innovando en sus métodos para distribuir malware, y su última táctica se centra en el uso del motor de juegos Godot Engine. Este motor de código abierto, ampliamente utilizado en el desarrollo de videojuegos, ha sido explotado para crear un cargador de malware llamado GodLoader, que opera de forma encubierta y afecta a una variedad de sistemas operativos y plataformas.

GodLoader y la red Stargazers Ghost

GodLoader se distribuye a través de la Stargazers Ghost Network, una red de cuentas y repositorios en GitHub que proporciona distribución de malware como servicio. Este enfoque permite a los atacantes infectar de manera eficiente sistemas en todo el mundo. Según investigadores de Check Point, hasta ahora se han comprometido más de 17,000 dispositivos mediante este cargador malicioso.

Entre las víctimas, los desarrolladores son especialmente vulnerables. Estos profesionales, al trabajar con herramientas de código abierto como Godot Engine, corren el riesgo de integrar inadvertidamente código malicioso en sus proyectos. Esto no solo pone en peligro a los desarrolladores, sino también a los millones de usuarios que descargan y juegan con títulos creados con estas herramientas comprometidas.

El funcionamiento del cargador GodLoader

El ataque utiliza la flexibilidad de GDScript, un lenguaje de programación personalizado de Godot Engine, y explota archivos .pck, que agrupan recursos del juego, incluidos scripts y escenas. Estos archivos se pueden cargar con funciones de devolución de llamada que, al ejecutarse, permiten el despliegue de código malicioso.

Entre las capacidades que ofrece este método a los atacantes se incluyen:

• Descarga de malware adicional.
• Ejecución remota de cargas útiles.
• Medidas de evasión como anti-sandbox y anti-máquinas virtuales.

La adaptabilidad de GDScript y su integración en Godot Engine hacen que esta técnica sea especialmente peligrosa, permitiendo que el malware pase desapercibido para la mayoría de las soluciones de seguridad.

Plataformas afectadas

Aunque el ataque se centra principalmente en máquinas con Windows, los investigadores de Check Point han confirmado que también se han desarrollado cargadores de prueba de concepto para macOS y Linux. Incluso se ha identificado la posibilidad de adaptar el ataque a dispositivos Android, aunque requeriría modificaciones al motor Godot.

Sin embargo, las políticas estrictas de la App Store de Apple dificultan que esta amenaza pueda extenderse a dispositivos iOS. Aun así, la versatilidad del cargador GodLoader sigue representando un peligro significativo para múltiples sistemas operativos.

Métodos de distribución

Stargazers Ghost Network, la red utilizada para distribuir GodLoader, cuenta con aproximadamente 200 repositorios y 225 cuentas. Esta infraestructura compleja ha sido diseñada para asegurar la longevidad del ataque, asignando roles específicos a las cuentas:

1. Enlaces maliciosos: Algunas cuentas se dedican exclusivamente a proporcionar enlaces de descarga comprometidos.
2. Almacenamiento de malware: Otras cuentas alojan el malware en archivos cifrados.
3. Promoción de repositorios: Algunas cuentas aumentan la visibilidad y legitimidad de los repositorios maliciosos mediante suscripciones y estrellas.

El engaño funciona porque los desarrolladores y jugadores suelen buscar en GitHub paquetes, trucos y software gratuito. Al descargar versiones pirateadas de programas de pago o generadores de claves, las víctimas terminan con GodLoader en sus dispositivos. Este, a su vez, instala otros programas maliciosos como:

• XMRig, un minero de criptomonedas.
• RedLine, un infostealer diseñado para robar datos confidenciales.

Impacto y peligros adicionales

Desde el 29 de junio de 2024, GodLoader ha estado operando sin ser detectado por la mayoría de las herramientas antivirus. La combinación de una distribución bien estructurada y técnicas de evasión avanzadas ha permitido alcanzar tasas de infección significativamente altas.

Para los jugadores, el riesgo es evidente: cualquier juego desarrollado con herramientas comprometidas podría servir como vehículo para infecciones adicionales. Para los desarrolladores, las consecuencias son aún más alarmantes, ya que cualquier proyecto contaminado podría comprometer la seguridad de sus usuarios y su reputación profesional.

Recomendaciones de protección

Ante esta amenaza, es crucial implementar medidas de seguridad tanto para desarrolladores como para usuarios:

1. Verificación de fuentes: Descargue herramientas y recursos solo de fuentes confiables y verificadas.
2. Análisis de archivos: Utilice soluciones de seguridad para escanear archivos antes de abrirlos, incluso si parecen legítimos.
3. Actualización de software: Mantenga actualizadas las herramientas y plataformas de desarrollo, incluido Godot Engine.
4. Monitorización de actividad: Configure alertas para detectar actividades sospechosas en repositorios o entornos de desarrollo.
5. Concienciación: Eduque a los desarrolladores y usuarios sobre los riesgos asociados con el uso de software pirateado o no confiable.

GodLoader representa un avance alarmante en la capacidad de los actores de amenazas para explotar herramientas legítimas con fines maliciosos. El uso de Godot Engine como vector de ataque destaca la necesidad de reforzar la seguridad en entornos de desarrollo de software. Tanto desarrolladores como usuarios deben permanecer vigilantes y adoptar prácticas seguras para minimizar el impacto de este tipo de ataques.

#Ciberseguridad ?️ #Malware ⚠️ #GodotEngine ? #CheckPoint ? #GodLoader ?‍♂️ #SeguridadDigital ? #StargazersGhost ? #Programación ? #Hackers ?️‍♂️ #Protección ?