Завантажувач шкідливого програмного забезпечення GodLoader: що вам потрібно знати

Дослідники з Безпеки з Check Point Research опублікували звіт про GodLoader, завантажувач шкідливого програмного забезпечення, який використовує Godot як середовище виконання для запуску шкідливого коду та зараження необізнаних користувачів відомим шкідливим програмним забезпеченням. Згідно зі звітом, постраждалі користувачі думали, що вони завантажують та запускають кряки для платного програмного забезпечення, але натомість запускали завантажувач шкідливого програмного забезпечення.

\ Як зазначено у звіті, вразливість не є специфічною для Godot. Godot Engine - це система програмування з мовою скриптів. Вона схожа, наприклад, на середовища виконання Python та Ruby. Можливо написати шкідливі програми на будь-якій мові програмування. Ми не вважаємо, що Godot особливо більше чи менше підходить для цього, ніж інші подібні програми.

\ Якщо ви завантажили гру Godot або редактор з надійного джерела, вам не потрібно нічого робити. Ви не в небезпеці. Ми заохочуємо людей запускати програмне забезпечення лише з довірених джерел - незалежно від того, чи воно написане з використанням Godot чи будь-якої іншої системи програмування.

\ Деякі більш технічні деталі:

Godot не реєструє обробник файлів для файлів .pck. Це означає, що зловмисник завжди повинен поставляти середовище виконання Godot (файл .exe) разом з файлом .pck. Користувач завжди повинен розпакувати середовище виконання разом з .pck в одне і те ж місце, а потім запустити середовище виконання. Немає способу для зловмисника створити "експлойт в один клік", за винятком інших вразливостей на рівні ОС. Якщо така вразливість на рівні ОС була б використана, то Godot не був би особливо привабливим варіантом через розмір середовища виконання.

\ Це схоже на написання шкідливого програмного забезпечення на Python або Ruby, зловмисник повинен буде поставляти python.exe або ruby.exe разом зі своєю шкідливою програмою.

Хороші практики Безпеки

Ми хотіли б скористатися цією можливістю, щоб нагадати користувачам про деякі хороші практики безпеки, коли мова йде про завантаження та запуск програмного забезпечення.

\

• Завантажуйте та запускайте програмне забезпечення (включаючи ігрові моди) лише з довірених джерел:
• Офіційний веб-сайт проекту. Підтвердіть це, перевіривши URL-адресу, та перевірте за допомогою пошукової системи, що це, здається, найчастіше згадуваний веб-сайт для цього програмного забезпечення.
• Довірена платформа розповсюдження: Steam, Epic Games Store, Windows Store, Google Play, Apple Store тощо.
• Люди, яких ви знаєте, після підтвердження, що вони є тими, за кого себе видають, якщо спілкування відбувається в текстовому форматі (див. нижче).
• У Windows та macOS перевірте, що виконуваний файл підписаний (і нотаріально засвідчений, на macOS) довіреною стороною.
• Будьте обережні при запуску зламаного програмного забезпечення, яке є основним вектором атаки для зловмисників.
• Будьте обережні при запуску програмного забезпечення навіть від людей, яких ви знаєте, якщо ви не можете підтвердити, що їхній обліковий запис не було скомпрометовано. Дуже поширеним вектором атаки, спрямованим саме на розробників ігор, є злам облікових записів Discord, а потім зловмисники використовують їх для надсилання шкідливих завантажень своїм друзям у приватних повідомленнях ("гей, спробуєш мою гру?"). Переконайтеся, що ви підтвердили особу своїх контактів перед запуском такого програмного забезпечення.

Повідомлення про проблеми безпеки

Ми дякуємо Check Point Research за дотримання рекомендацій з безпеки щодо відповідального розкриття інформації, які дозволили нам підтвердити, що цей вектор атаки, хоч і прикрий, не є специфічним для Godot і не виявляє вразливості в двигуні або для його користувачів.

\ Якщо ви хочете повідомити про вразливість або проблему безпеки, будь ласка, надішліть електронний лист на адресу [email protected].

Від команди Безпеки Godot

\ Також опубліковано тут

\ Фото Ümit Yıldırım на Unsplash