Theo phát hiện của hãng bảo mật Check Point (Israel) trong quá trình điều tra các cuộc tấn công, các tác nhân đe dọa có thể sử dụng trình tải phần mềm độc hại GodLoader để nhắm mục tiêu vào người dùng Godot Gaming Engine, một nền tảng phát triển trò chơi nguồn mở được sử dụng để xây dựng cả trò chơi 2D và 3D trên Windows, macOS, Linux, Android, iOS, HTML5 và các nền tảng khác.

Bên cạnh đó, GodLoader cũng được sử dụng để tận dụng tính linh hoạt của Godot và khả năng của GDScript (ngôn ngữ lập trình giống Python của Godot) để thực thi mã tùy ý và vượt qua các hệ thống phát hiện bằng cách sử dụng các tệp [.]pck của công cụ trò chơi, đóng gói các tài sản trò chơi, để nhúng các tập lệnh có hại.

Sau khi tải, các tệp được tạo độc hại sẽ kích hoạt mã độc trên thiết bị của nạn nhân, cho phép kẻ tấn công đánh cắp thông tin đăng nhập hoặc tải xuống các payload bổ sung, bao gồm cả phần mềm đánh cắp thông tin RedLine và trình khai thác tiền điện tử XMRig. Cấu hình của phần mềm độc hại này được lưu trữ trên tệp Pastebin riêng được tải lên vào tháng 5/2024, đã được truy cập 206.913 lần trong suốt chiến dịch.

RedLine là phần mềm độc hại tinh vi có khả năng đánh cắp mật khẩu, thông tin chi tiết về ví tiền điện tử và các dữ liệu khác được lưu trữ trong trình duyệt, dữ liệu nhạy cảm, cookie phiên,... Trong khi đó, XMRig biến thiết bị bị lây nhiễm thành một công cụ khai thác tiền điện tử, tạo ra các mã thông báo cho kẻ tấn công.

“Kể từ ngày 29/6/2024, tội phạm mạng đã lợi dụng Godot Engine để thực thi mã GDScript được tạo ra để kích hoạt các lệnh độc hại và phát tán phần mã độc. Kỹ thuật này hầu như chưa bị các công cụ antivirus trên VirusTotal phát hiện, nên có khả năng đã lây nhiễm cho hơn 17.000 máy chỉ trong vài tháng”, Check Point cho biết.

Godot có một cộng đồng các nhà phát triển năng động và ngày càng lớn mạnh, những người coi trọng bản chất mã nguồn mở và khả năng mạnh mẽ của nó. Hơn 2.700 nhà phát triển đã đóng góp vào công cụ chơi game Godot, trong khi trên các nền tảng như Discord, YouTube và các nền tảng truyền thông xã hội khác, công cụ Godot có khoảng 80.000 người theo dõi, những người luôn cập nhật tin tức mới nhất.

Chuỗi lây nhiễm

Những kẻ tấn công đã phát tán phần mềm độc hại GodLoader thông qua Stargazers Ghost Network, một phần mềm độc hại phân phối dịch vụ (DaaS) nhằm che giấu hoạt động của nó bằng cách sử dụng GitHub.

Từ tháng 9/2024 đến tháng 10/2024, các tin tặc đã sử dụng hơn 200 kho lưu trữ do hơn 225 tài khoản Stargazer Ghost kiểm soát để triển khai phần mềm độc hại vào hệ thống mục tiêu, lợi dụng lòng tin của nạn nhân tiềm năng vào các nền tảng nguồn mở và các kho lưu trữ phần mềm với vỏ bọc hợp pháp.

Trong suốt chiến dịch, Check Point đã phát hiện 4 đợt tấn công riêng biệt nhằm vào các nhà phát triển và game thủ từ ngày 12/9 đến ngày 3/10, dụ dỗ họ tải xuống các công cụ và trò chơi bị nhiễm mã độc.

Trong khi các nhà nghiên cứu bảo mật chỉ phát hiện ra các mẫu GodLoader nhắm vào hệ thống Windows, họ cũng đã phát triển mã khai thác PoC GDScript cho thấy phần mềm độc hại này có thể dễ dàng được điều chỉnh để tấn công hệ thống Linux và macOS như thế nào.

Stargazer Goblin, tác nhân đe dọa đứng sau nền tảng DaaS Stargazers Ghost Network được sử dụng trong các cuộc tấn công này, lần đầu tiên bị Check Point phát hiện khi đang quảng bá dịch vụ phân phối phần mềm độc hại này trên dark web vào tháng 6/2023. Tuy nhiên, có khả năng nó đã hoạt động từ ít nhất tháng 8/2022, kiếm được hơn 100.000 USD kể từ khi dịch vụ này ra mắt.

Stargazers Ghost Network sử dụng hơn 3.000 tài khoản “ma” trên GitHub để tạo ra mạng lưới gồm hàng trăm kho lưu trữ có thể được sử dụng để phân phối phần mềm độc hại (chủ yếu là các phần mềm đánh cắp thông tin như RedLine, Lumma Stealer, Rhadamanthys, RisePro và Atlantida Stealer) và sao chép, phân nhánh và đăng ký các kho lưu trữ độc hại này để đưa chúng lên phần thịnh hành của GitHub và tăng tính hợp pháp.