恶意程序GodLoader回避侦测出现新手法,黑客滥用游戏引擎感染1.7万台电脑
支付動態 · 2024-11-29

资安业者Check Point揭露恶意软件GodLoader的攻击行动,这些黑客滥用开源游戏引擎Godot并运行GDScript脚本,而能在不被杀毒软件察觉异状的情况下,半年内攻陷1.7万台电脑

最近2年黑客利用合法组件瘫痪杀毒软件及EDR系统的情况,不断有资安事故传出,其中最常见的手法,便是使用过时的驱动程序,以操作系统内核层级来干扰这些资安防护机制的运作,但如今有人转向其他工具来突破防线。

资安业者Check Point指出,他们发现名为GodLoader的恶意软件,从今年6月底开始通过开源游戏引擎Godot,并运行特制的GDScript脚本,黑客借此触发恶意指令,并于受害电脑加载恶意软件,迄今约有1.7万台电脑遭到感染,而且,许多杀毒软件可能无法侦测攻击者使用的恶意脚本,因为将这些程序送到恶意软件分析平台VirusTotal检测,鲜少有杀毒引擎将其视为有害。

值得留意的是,该恶意软件散布的管道,是滥用代码存储库GitHub组成的Stargazers Ghost网络,从9月至10月,约有200个存储库用于散布GodLoader。

另一方面,这样的手法能够针对多种类型的设备进行跨平台攻击,范围涵盖Windows、Linux、macOS电脑,以及安卓和iOS设备。虽然研究人员这次只找到针对Windows电脑的恶意软件,但他们也发现借此将有效酬载传到Linux及macOS环境的作法。

针对这波攻击的危险性,研究人员认为,游玩以Godot开发游戏的玩家都有可能曝险,他们估计超过120万人会成为黑客下手的标的。攻击者可假借提供游戏修改器或其他工具,利用Godot在用户电脑运行恶意脚本。

而被黑客用来夹带攻击程序的管道Godot,其实是开源的游戏开发平台,提供高度弹性、对用户友善的操作界面,以及丰富的功能,开发者可用来打造2D或3D游戏,并将成品输出为各种平台的版本,除了电脑、行动设备版本,开发者也能以网页的形式(HTML5)提供玩家游玩。其中,Godot内核引擎使用类似Python的脚本语言GDScript,以便开发人员用于打造游戏。

但功能如此全面的GDScript,也成为攻击者利用的对象,研究人员提及,此语言能让攻击者回避沙箱和虚拟机,也可以远程运行有效酬载,在此同时,攻击者因为使用了这项合法工具,而能够回避侦测。

针对游戏开发工具被滥用的情况,Godot游戏引擎维护团队及资安团队成员Rémi Verschelde找上资安新闻网站Bleeping Computer,并提出说明,他们表示,已经得知Check Point公布的调查结果,并认为这种型态的弱点也同样可能会出现在其他游戏开发引擎,而会遭到滥用。

这种攻击手法必须搭配特定条件,Rémi Verschelde表示,攻击者必须将Godot的部分运行组件(runtime)与PCK文件一起发送,而且,用户必须将运行组件与PCK档放置于相同文件夹,并启动相关组件。除非攻击者搭配操作系统层级漏洞,否则他们无法让用户运行文件就中招,Rémi Verschelde认为,由于还要将Godot组件带到受害电脑上,这类方法并非黑客偏好的触发操作系统漏洞管道。

热门文章
Zenith携手HUIDU,冠名赞助2026年世界杯嘉年华官方巡回活动
线上游戏
JILI 宣布与全球板球传奇 AB de Villiers(ABD)达成重磅战略合作
体育游戏
哈萨克斯坦计划对在线赌场促销活动进行处罚
游戏风向
英国确认各垂直行业的赌博税税率
游戏风向
印度最高法院受理公益诉讼,要求全国禁封“伪装”成社交游戏的赌博平台
游戏风向
亚洲顶尖游戏供应商多寶游戏 DB GAMING,开创亚洲市场的唯一首选
广告营销
密西西比州众议院委员会推进提议增加赌场税的法案
游戏风向
BETFAIR 网络攻击80万用户资料泄露
游戏风向
斯里兰卡博弈产业大转型,官方:剑指南亚拉斯维加斯
游戏风向
菲律宾博彩技术赛道迎来新变局,B2B 供应模式加速渗透
东南亚资讯
巴西颁布新法赋权央行封锁非法博彩账户及 Pix 交易
支付动态
亚洲游戏市场观察:15大市场热门游戏与用户趋势
线上游戏
新泽西州7月博彩收入创6.06亿美元新高,颁布禁令
游戏风向
越南在线博彩业政策收紧 催生市场新机遇
东南亚资讯
越南博彩管控逐步放宽,惟本土需求仍显乏力
东南亚资讯
首页
游戏
合作
发现
我的