Carregador de Malware GodLoader: O Que Precisa de Saber

Os pesquisadores de segurança da Check Point Research publicaram um relatório sobre o GodLoader, um carregador de malware que usa o Godot como seu runtime para executar código malicioso e infectar usuários desavisados com malware conhecido. Com base no relatório, os usuários afetados pensavam que estavam baixando e executando cracks para software pago, mas em vez disso executaram o carregador de malware.

\ Como afirma o relatório, a vulnerabilidade não é específica do Godot. O Godot Engine é um sistema de programação com uma linguagem de script. É semelhante, por exemplo, aos runtimes Python e Ruby. É possível escrever programas maliciosos em qualquer linguagem de programação. Não acreditamos que o Godot seja particularmente mais ou menos adequado para isso do que outros programas semelhantes.

\ Se você baixou um jogo Godot ou o editor de uma fonte confiável, não precisa fazer nada. Você não está em risco. Incentivamos as pessoas a executar apenas software de fontes confiáveis – seja escrito usando Godot ou qualquer outro sistema de programação.

\ Para alguns detalhes técnicos adicionais:

O Godot não registra um manipulador de arquivos para arquivos .pck. Isso significa que um ator malicioso sempre tem que enviar o runtime do Godot (arquivo .exe) junto com um arquivo .pck. O usuário sempre terá que descompactar o runtime junto com o .pck para o mesmo local e depois executar o runtime. Não há como um ator malicioso criar um "exploit de um clique", exceto por outras vulnerabilidades em nível de sistema operacional. Se tal vulnerabilidade em nível de sistema operacional fosse usada, o Godot não seria uma opção particularmente atraente devido ao tamanho do runtime.

\ Isso é semelhante a escrever software malicioso em Python ou Ruby, o ator malicioso terá que enviar um python.exe ou ruby.exe junto com seu programa malicioso.

Boas práticas de segurança

Gostaríamos de aproveitar esta oportunidade para lembrar aos usuários algumas boas práticas de segurança quando se trata de baixar e executar software.

\

• Baixe e execute software (incluindo mods de jogos) apenas de fontes confiáveis:
• Site oficial do projeto. Confirme verificando a URL e verifique com um mecanismo de busca que este parece ser o site mais frequentemente referenciado para este software.
• Plataforma de distribuição confiável: Steam, Epic Games Store, Windows Store, Google Play, Apple Store, etc.
• Pessoas que você conhece, depois de confirmar que elas são quem afirmam ser se a comunicação for baseada em texto (veja abaixo).
• No Windows e macOS, verifique se o executável está assinado (e notarizado, no macOS) por uma parte confiável.
• Tenha cuidado ao executar software crackeado, que é um vetor de ataque principal para atores maliciosos.
• Tenha cuidado ao executar software mesmo de pessoas que você conhece, se não puder confirmar que a conta delas não foi comprometida. Um vetor de ataque muito comum visando especificamente desenvolvedores de jogos é quando contas do Discord são hackeadas, e então atores maliciosos as usam para enviar downloads maliciosos aos seus amigos em mensagens privadas ("ei, você vai experimentar meu jogo?"). Certifique-se de confirmar a identidade dos seus contatos antes de executar tal software.

Relatando problemas de segurança

Agradecemos à Check Point Research por seguir as diretrizes de segurança de divulgação responsável, que nos permitiram confirmar que esse vetor de ataque, embora infeliz, não é específico do Godot e não expõe uma vulnerabilidade no motor ou para seus usuários.

\ Se você deseja relatar uma vulnerabilidade ou preocupação de segurança, envie um e-mail para [email protected].

Pela Equipe de Segurança do Godot

\ Também publicado aqui

\ Foto de Ümit Yıldırım no Unsplash