Operasi Malware Godloader Baru Menginfeksi 17.000 Sistem

Operasi malware GodLoader baru menginfeksi 17.000 sistem setidaknya sejak Juni 2024, ini terjadi akibat penyelahgunaan mesin gim open source populer yang disebut Godot Engine.

Penjahat siber telah memanfaatkan Godot Engine untuk mengeksekusi kode GDScript yang dibuat khusus yang memicu perintah jahat dan mengirimkan malware.

Teknik ini tetap tidak terdeteksi oleh hampir semua mesin antivirus di VirusTotal. Tidak mengherankan bahwa pelaku ancaman terus mencari alat dan teknik baru.

Yang dapat membantu mengirimkan malware sambil menghindari deteksi oleh kontrol keamanan, bahkan saat peneliti keamanan terus membangun pagar pembatas baru.

Baca juga: BootKitty Malware Khusus Linux

Lintas Platform

Penambahan terbaru adalah Godot Engine, platform pengembangan gim yang memungkinkan pengguna untuk mendesain gim 2D dan 3D di seluruh platform, termasuk:

Windows.
MacOS.
Linux.
Android.
IOS.
PlayStation.
Xbox.
Nintendo Switch.
Dan web.

Dukungan multi-platform juga menjadikannya alat yang menarik di tangan para penyerang yang kini dapat memanfaatkannya untuk menargetkan dan menginfeksi perangkat dalam skala besar, yang secara efektif memperluas permukaan serangan.

Fleksibilitas Godot Engine telah menjadikannya sasaran bagi para penjahat dunia maya, yang memungkinkan malware lintas-platform yang tersembunyi seperti GodLoader menyebar dengan cepat dengan memanfaatkan kepercayaan pada platform sumber terbuka.

Fleksibilitas Godot Engine telah menjadikannya sasaran bagi para penjahat dunia maya, yang memungkinkan malware lintas-platform yang tersembunyi seperti GodLoader menyebar dengan cepat memanfaatkan kepercayaan pada platform sumber terbuka.

Bagi 1,2 juta pengguna game yang dikembangkan Godot, implikasinya sangat mendalam, tidak hanya untuk perangkat mereka tetapi juga untuk integritas ekosistem game itu sendiri.

Ini adalah peringatan bagi industri untuk memprioritaskan langkah-langkah keamanan dunia maya lintas platform yang proaktif untuk tetap berada di depan tren yang mengkhawatirkan ini.

Stargazers Ghost Network

Yang membuat operasi ini menonjol adalah ia memanfaatkan Stargazers Ghost Network dalam hal ini, sekumpulan sekitar 200 repositori GitHub dan lebih dari 225 akun palsu sebagai vektor distribusi untuk GodLoader.

Akun-akun ini telah menjadi bintang repositori jahat yang mendistribusikan GodLoader, membuatnya tampak sah dan aman. Repositori tersebut dirilis dalam empat gelombang terpisah, yang terutama menargetkan pengembang, gamer, dan pengguna umum.

Serangan tersebut, yang telah diamati oleh peneliti terjadi pada tanggal 12 September, 14 September, 29 September, dan 3 Oktober 2024.

Telah ditemukan menggunakan file yang dapat dieksekusi Godot Engine, yang dikenal sebagai file pack (atau .PCK) untuk menjatuhkan malware loader.

Yang bertugas untuk mengunduh dan mengeksekusi payload tahap akhir seperti RedLine Stealer dan penambang uang kripto XMRig dari repositori Bitbucket.

Selain itu, loader tersebut menyertakan fitur untuk melewati analisis di lingkungan sandbox dan virtual serta menambahkan seluruh drive C:\ ke daftar pengecualian Microsoft Defender Antivirus untuk mencegah deteksi malware.

Artefak GodLoader terutama ditujukan untuk menargetkan mesin Windows, meskipun mereka mencatat bahwa sangat mudah untuk mengadaptasinya guna menginfeksi sistem macOS dan Linux.

Terlebih lagi, meskipun rangkaian serangan saat ini melibatkan pelaku ancaman yang membuat executable Godot Engine khusus untuk penyebaran malware.

Serangan tersebut dapat ditingkatkan ke tingkat yang lebih tinggi dengan merusak gim sah buatan Godot setelah memperoleh kunci enkripsi simetris yang digunakan untuk mengekstrak file .PCK.

Namun, serangan semacam ini dapat dihindari dengan beralih ke algoritma kunci asimetris (alias kriptografi kunci publik) yang mengandalkan pasangan kunci publik dan privat untuk mengenkripsi/mendekripsi data.

Rentannya Godot

Menanggapi temuan tersebut, Tim Keamanan Godot mengatakan bahwa Godot Engine adalah sistem pemrograman dengan bahasa skrip dan mirip dengan runtime Python dan Ruby, mendesak pengguna untuk memastikan bahwa file yang dapat dieksekusi yang diunduh ditandatangani oleh pihak tepercaya dan menghindari menjalankan perangkat lunak yang diretas.

Ada kemungkinan untuk menulis program jahat dalam bahasa pemrograman apa pun,” demikian pernyataan yang disampaikan. “Kami tidak yakin bahwa Godot lebih atau kurang cocok untuk melakukannya dibandingkan program sejenis lainnya.

operasi jahat tersebut menjadi pengingat lain tentang bagaimana pelaku ancaman sering kali memanfaatkan layanan dan merek yang sah.

Untuk menghindari mekanisme keamanan, yang mengharuskan pengguna mengunduh perangkat lunak hanya dari sumber tepercaya.

Pelaku ancaman telah memanfaatkan kemampuan skrip Godot untuk membuat loader khusus yang tidak terdeteksi oleh banyak solusi keamanan konvensional.

Karena arsitektur Godot memungkinkan pengiriman muatan yang tidak bergantung pada platform, penyerang dapat dengan mudah menyebarkan kode berbahaya di Windows, Linux, dan macOS, terkadang bahkan menjelajahi opsi Android.

Menggabungkan metode distribusi yang sangat tertarget dan teknik yang tidak terdeteksi telah menghasilkan tingkat infeksi yang sangat tinggi.

Pendekatan lintas platform ini meningkatkan fleksibilitas malware, memberi pelaku alat yang ampuh yang dapat dengan mudah menargetkan beberapa sistem operasi.

Metode ini memungkinkan penyerang untuk mengirimkan malware secara lebih efektif di berbagai perangkat, memaksimalkan jangkauan dan dampaknya.

Demikian pembahasan kali ini mengenai operasi malware GodLoader baru menginfeksi 17.000 sistem, semoga dapat menambah wawasan dan bermanfaat.

Baca lainnya: