Investigadores de ciberseguridad han descubierto una ciberamenaza dirigida a más de 1,2 millones de jugadores ‘online’ a través del motor de videojuegos Godot Engine de código abierto, del que se han aprovechado para distribuir el ‘ransomware’ GodLoader, que roba información personal y credenciales de los usuarios.
Godot Engine es una plataforma de desarrollo de videojuegos gratuita y diseñada para crear juegos en dos y tres dimensiones (2D y 3D), compatible con varios formatos de exportación, lo que permite a los desarrolladores llegar a plataformas como Windows, macOS, Linux, Android, iOS y HTML5.
Este motor dispone de una interfaz intuitiva y un lenguaje de ‘scripts’ similar a Python, que recibe el nombre de GDScript y su comunidad de usuarios registra más de 2.700 colaboradores, lo que lo convierte en uno de los motores más populares.
Un equipo de investigadores de la división de Inteligencia de Amenazas de Check Point Research, ha descubierto una nueva campaña de distribución del ‘ransomware’ GodLoader, dirigida a más de 1,2 millones de jugadores ‘online’ a través de Godot Engine y que ya ha infectado 17.000 equipos.
Este tipo de ataque permite a los ciberdelincuentes recopilar información personal y las credenciales de acceso de las víctimas, así como desplegar ‘malware’ en los equipos, aprovechando la confianza que los ‘gamers’ depositan en las plataformas legítimas para ejecutar sus acciones maliciosas.
La firma de ciberseguridad ha avanzado que los jugadores, que «a menudo priorizan el rendimiento y la usabilidad sobre la seguridad», son «el grupo ideal» para este tipo de ataques y que la arquitectura Godot presenta una amplia vulnerabilidad. Esto, porque permite la entrega de cargas útiles independientes de la plataforma y facilita que los atacantes desplieguen código malicioso en Windows, Linux y macOS, explorando incluso opciones en Android.
Asimismo, los expertos apuntan a que los delincuentes explotan la capacidad de Godot para ejecutar fragmentos de código web o ‘scripts’ multiplataforma, exponiendo a una amplia y diversa base de jugadores.
Por otro lado, utilizando el marco de distribución como servicio (DaaS, por sus siglas en inglés) Stargazers Ghost Network, aprovechan la confianza en los repositorios de ‘software’ legítimos y de código abierto para distribuir ‘malware’ de forma discreta.
Check Point Research ha subrayado que entre septiembre y octubre de 2024, GodLoader se ha distribuido a través de 200 repositorios respaldados por más de 225 cuentas de Stargazer Ghost y que GodLoader representa una escalada singificativa en las tácticas de los ciberdelincuentes.