Popüler açık kaynaklı oyun motoru Godot Engine, GodLoader adlı zararlı yazılım kampanyasının bir parçası olarak kötüye kullanılıyor ve 2024 Haziran ayından bu yana 17.000'den fazla cihazı enfekte etti.

Check Point, yaptığı yeni bir analizde, siber suçluların Godot Engine'in esnekliğinden yararlanarak GDScript kodlarını çalıştırıp zararlı komutlar tetiklediğini ve zararlı yazılımları dağıttığını bildirdi. Bu teknik, VirusTotal'daki çoğu antivirüs motoru tarafından tespit edilmeden kalıyor.

Godot Engine'in çok platformlu desteği, siber suçluların bu esnekliği kullanarak cihazları hedef almasını ve geniş bir saldırı yüzeyi oluşturarak zararlı yazılımları hızla yaymalarını sağlıyor.

Check Point'in Güvenlik Araştırmaları Grubu Müdürü Eli Smadja şu açıklamalarda bulundu: "Godot Engine'in esnekliği, siber suçlular için onu hedef haline getirdi. Bu, GodLoader gibi zararlı yazılımların açık kaynak platformlarına duyulan güveni suistimallerle hızla yayılmasına olanak sağlıyor. Godot ile geliştirilen oyunları kullanan 1.2 milyon kullanıcı için bu durum, sadece cihazlar için değil, aynı zamanda oyun ekosisteminin bütünlüğü için de büyük bir tehdit

oluşturuyor."

GitHub Ağı Kullanılarak Dağıtım

Bu kampanyanın dikkat çeken özelliği, Stargazers Ghost Network'ü kullanarak GodLoader'ı dağıtmasıdır. Bu ağ, yaklaşık 200 GitHub deposu ve 225'ten fazla sahte hesap içeriyor.

Bu sahte hesaplar, zararlı yazılımları dağıtan depo ve dosyaları "yıldızlayarak" bu depoları güvenilir ve sahici göstermeye çalışıyor. Bu depolar, geliştiricileri, oyuncuları ve genel kullanıcıları hedef alarak dört ayrı dalga halinde yayımlandı.

Zararlı yazılım, Godot Engine'in yürütülebilir dosyaları (genellikle .PCK dosyaları olarak bilinir) aracılığıyla dağıtılıyor. Bu dosyalar, RedLine Stealer ve XMRig (kripto para madenciliği yapan yazılım) gibi son aşama yüklerini bir Bitbucket deposundan indirip çalıştıran yükleyici zararlı yazılımı indiriyor.

Yükleyici, ayrıca sanal ortamlarda analiz yapılmasını engellemek için özelliklere sahip ve Microsoft Defender Antivirus'ın zararlı yazılımı tespit etmesini engellemek için tüm *C:* sürücüsünü hariç tutma listesine ekliyor.

Çapraz Platform Etkisi

Zararlı yazılım, esas olarak Windows makinelerini hedef alırken, macOS ve Linux sistemlerine enfekte olabilmesi için kolayca uyarlanabilir. Şu anda, siber suçlular Godot Engine'i kullanarak özel yürütülebilir dosyalar oluşturuyor. Ancak, bu saldırı daha da ileriye götürülüp Godot ile geliştirilmiş yasal bir oyunun şifreleme anahtarı elde edildikten sonra .PCK dosyası çıkarılarak yapılabilir.

Bu tür saldırılar, asimetrik şifreleme algoritması (yani açık anahtar şifreleme) kullanılarak engellenebilir. Bu algoritma, verileri şifrelemek ve çözmek için açık ve özel anahtar çiftine dayanır.

Endüstrinin Uyanması Gereken Bir Tehdit

Bu zararlı yazılım kampanyası, siber suçluların sıklıkla yasal hizmet ve markaları nasıl kullanarak güvenlik önlemlerini aşabildiğini bir kez daha hatırlatıyor. Bu nedenle, kullanıcıların yazılımları yalnızca güvenilir kaynaklardan indirmeleri gerektiği bir hatırlatmadır.

Check Point şu açıklamayı yaptı: "Siber suçlular, Godot'un betikleme özelliklerini kullanarak, birçok geleneksel güvenlik çözümü tarafından tespit edilmeyen özel yükleyiciler oluşturdu. Godot'un mimarisi, platformdan bağımsız yüklemenin yapılmasını sağladığı için, saldırganlar zararlı yazılımı Windows, Linux ve macOS sistemlerine kolayca dağıtabilirler ve hatta Android seçeneklerini araştırabilirler."

Yüksek hedeflenmiş dağıtım yöntemi ve gizli, tespit edilmeyen tekniklerin birleşimi, olağanüstü yüksek enfeksiyon oranlarına yol açmıştır. Bu çapraz platform yaklaşımı, zararlı yazılımın esnekliğini artırarak, saldırganlara güçlü bir araç sunuyor ve bu sayede birden fazla işletim sistemini hedef alabilmelerini sağlıyor. Bu yöntem, zararlı yazılımların farklı cihazlar arasında daha etkili bir şekilde dağıtılmasına olanak tanır.

Siber suçluların yeni araç ve teknikler arayışında olmaları ve güvenlik kontrol sistemlerini aşmak için sürekli olarak yeni yollar denemeleri hiç şaşırtıcı değil.