Theo phát hiện của hãng bảo mật Check Point (Israel) trong quá trình điều tra các cuộc tấn công, các tác nhân đe dọa có thể sử dụng trình tải phần mềm độc hại GodLoader để nhắm mục tiêu vào người dùng Godot Gaming Engine, một nền tảng phát triển trò chơi nguồn mở được sử dụng để xây dựng cả trò chơi 2D và 3D trên Windows, macOS, Linux, Android, iOS, HTML5 và các nền tảng khác.
Bên cạnh đó, GodLoader cũng được sử dụng để tận dụng tính linh hoạt của Godot và khả năng của GDScript (ngôn ngữ lập trình giống Python của Godot) để thực thi mã tùy ý và vượt qua các hệ thống phát hiện bằng cách sử dụng các tệp [.]pck của công cụ trò chơi, đóng gói các tài sản trò chơi, để nhúng các tập lệnh có hại.
Sau khi tải, các tệp được tạo độc hại sẽ kích hoạt mã độc trên thiết bị của nạn nhân, cho phép kẻ tấn công đánh cắp thông tin đăng nhập hoặc tải xuống các payload bổ sung, bao gồm cả phần mềm đánh cắp thông tin RedLine và trình khai thác tiền điện tử XMRig. Cấu hình của phần mềm độc hại này được lưu trữ trên tệp Pastebin riêng được tải lên vào tháng 5/2024, đã được truy cập 206.913 lần trong suốt chiến dịch.
RedLine là phần mềm độc hại tinh vi có khả năng đánh cắp mật khẩu, thông tin chi tiết về ví tiền điện tử và các dữ liệu khác được lưu trữ trong trình duyệt, dữ liệu nhạy cảm, cookie phiên,... Trong khi đó, XMRig biến thiết bị bị lây nhiễm thành một công cụ khai thác tiền điện tử, tạo ra các mã thông báo cho kẻ tấn công.
“Kể từ ngày 29/6/2024, tội phạm mạng đã lợi dụng Godot Engine để thực thi mã GDScript được tạo ra để kích hoạt các lệnh độc hại và phát tán phần mã độc. Kỹ thuật này hầu như chưa bị các công cụ antivirus trên VirusTotal phát hiện, nên có khả năng đã lây nhiễm cho hơn 17.000 máy chỉ trong vài tháng”, Check Point cho biết.
Godot có một cộng đồng các nhà phát triển năng động và ngày càng lớn mạnh, những người coi trọng bản chất mã nguồn mở và khả năng mạnh mẽ của nó. Hơn 2.700 nhà phát triển đã đóng góp vào công cụ chơi game Godot, trong khi trên các nền tảng như Discord, YouTube và các nền tảng truyền thông xã hội khác, công cụ Godot có khoảng 80.000 người theo dõi, những người luôn cập nhật tin tức mới nhất.
Chuỗi lây nhiễm
Những kẻ tấn công đã phát tán phần mềm độc hại GodLoader thông qua Stargazers Ghost Network, một phần mềm độc hại phân phối dịch vụ (DaaS) nhằm che giấu hoạt động của nó bằng cách sử dụng GitHub.
Từ tháng 9/2024 đến tháng 10/2024, các tin tặc đã sử dụng hơn 200 kho lưu trữ do hơn 225 tài khoản Stargazer Ghost kiểm soát để triển khai phần mềm độc hại vào hệ thống mục tiêu, lợi dụng lòng tin của nạn nhân tiềm năng vào các nền tảng nguồn mở và các kho lưu trữ phần mềm với vỏ bọc hợp pháp.
Trong suốt chiến dịch, Check Point đã phát hiện 4 đợt tấn công riêng biệt nhằm vào các nhà phát triển và game thủ từ ngày 12/9 đến ngày 3/10, dụ dỗ họ tải xuống các công cụ và trò chơi bị nhiễm mã độc.
Trong khi các nhà nghiên cứu bảo mật chỉ phát hiện ra các mẫu GodLoader nhắm vào hệ thống Windows, họ cũng đã phát triển mã khai thác PoC GDScript cho thấy phần mềm độc hại này có thể dễ dàng được điều chỉnh để tấn công hệ thống Linux và macOS như thế nào.
Stargazer Goblin, tác nhân đe dọa đứng sau nền tảng DaaS Stargazers Ghost Network được sử dụng trong các cuộc tấn công này, lần đầu tiên bị Check Point phát hiện khi đang quảng bá dịch vụ phân phối phần mềm độc hại này trên dark web vào tháng 6/2023. Tuy nhiên, có khả năng nó đã hoạt động từ ít nhất tháng 8/2022, kiếm được hơn 100.000 USD kể từ khi dịch vụ này ra mắt.
Stargazers Ghost Network sử dụng hơn 3.000 tài khoản “ma” trên GitHub để tạo ra mạng lưới gồm hàng trăm kho lưu trữ có thể được sử dụng để phân phối phần mềm độc hại (chủ yếu là các phần mềm đánh cắp thông tin như RedLine, Lumma Stealer, Rhadamanthys, RisePro và Atlantida Stealer) và sao chép, phân nhánh và đăng ký các kho lưu trữ độc hại này để đưa chúng lên phần thịnh hành của GitHub và tăng tính hợp pháp.
Lê Hải Yến
09:00 | 08/06/2023
10:00 | 24/12/2024
15:00 | 26/01/2025
12:00 | 23/12/2024
15:00 | 17/12/2024
07:00 | 08/02/2023
11:00 | 29/05/2021
22:00 | 25/01/2025
Nhân dịp đón chào năm mới 2025, Trung tướng Vũ Ngọc Thiềm, Trưởng ban Ban Cơ yếu Chính phủ đã gửi thư chúc Tết tới toàn thể cán bộ, nhân viên, người lao động, gia đình các Anh hùng Liệt sĩ, các đồng chí thương binh, bệnh binh đã và đang công tác trong ngành Cơ yếu Việt Nam. Tạp chí An toàn thông tin trân trọng giới thiệu toàn văn thư chúc Tết của đồng chí Trưởng ban Ban Cơ yếu Chính phủ.
13:00 | 13/01/2025
Ngày 06/1, Tổ chức Hàng không Dân dụng Quốc tế (ICAO) thông báo đang điều tra về khả năng đã xảy ra sự cố bảo mật thông tin, sau khi có báo cáo cho rằng hàng chục nghìn tài liệu đã bị đánh cắp.
09:00 | 06/01/2025
Theo dự đoán, năm 2025, những thách thức an ninh mạng chưa từng có trong bối cảnh đổi mới công nghệ và mối đe dọa số sẽ ngày càng gia tăng. Yếu tố chính trị toàn cầu, tin tặc được nhà nước bảo trợ và tội phạm công nghệ cao càng làm bức tranh an ninh mạng thêm phần phức tạp. Đặc biệt, trí tuệ nhân tạo (AI) trở thành con dao hai lưỡi, vừa là lá chắn, vừa là mũi giáo trong cuộc chiến an ninh mạng. Bài viết này sẽ đưa ra 10 dự đoán hàng đầu về an ninh mạng cho năm 2025, giúp doanh nghiệp chủ động ứng phó trong cuộc đua vũ trang công nghệ này.
10:00 | 09/12/2024
"Brain rot" (sự suy giảm khả năng tập trung, tư duy và trí tuệ) được dùng để bày tỏ lo ngại về hậu quả của việc lạm dụng quá nhiều nội dung trực tuyến có chất lượng kém, đặc biệt là trên mạng xã hội.
Nền tảng truyền thông xã hội Bluesky với cách thức hoạt động tương tự X (trước đây là Twitter) hiện đang trở thành sự lựa chọn ngày càng phổ biến trong cộng đồng khoa học.
09:00 | 03/02/2025
Khép lại năm 2024, Lãnh đạo Ban Cơ yếu Chính phủ, cấp ủy, lãnh đạo các cấp trong toàn lực lượng cơ yếu, nhất là đội ngũ cán bộ chủ chốt đã chủ động bám sát yêu cầu nhiệm vụ và thực tiễn, cùng với sự nỗ lực rất lớn của toàn thể cán bộ, nhân viên ngành Cơ yếu Việt Nam tổ chức triển khai đồng bộ, toàn diện trên các mặt công tác, hoàn thành tốt nhiệm vụ được giao, trong đó có nhiều nhiệm vụ hoàn thành xuất sắc, tiếp tục khẳng định vị thế, vai trò đặc biệt quan trọng của hoạt động cơ yếu. Dưới đây là 10 dấu ấn nổi bật trong năm 2024 của ngành Cơ yếu Việt Nam.
08:00 | 29/01/2025
ByteDance - công ty mẹ TikTok vừa giới thiệu mô hình trí tuệ nhân tạo (AI) mới có tên OmniHuman-1, có khả năng sản xuất video deepfake mà người dùng thông thường gần như không thể phân biệt với video thật.
08:00 | 07/02/2025