Check Point Software Technologiesは11月27日(米国時間)、「Gaming Engines: An Undetected Playground for Malware Loaders - Check Point Research」において、ゲームエンジンの「Godot Engine」を悪用したマルウェアローダー「GodLoader」を特定したと報じた。

少なくとも2024年6月29日には攻撃が始まり、これまでに17,000台以上のデバイスに感染したとみられている。

  • Gaming Engines: An Undetected Playground for Malware Loaders - Check Point Research

    Gaming Engines: An Undetected Playground for Malware Loaders - Check Point Research

GodLoaderの分析

ゲームエンジンの「Godot Engine」は、ゲームを構成するスクリプト、テクスチャ、サウンドなどを「.pckファイル」にまとめ、実行環境と共に配布する。スクリプトにはGodot用に開発された「GDScript」を使用することができ、高度なオブジェクト指向プログラミングが可能とされる。

.pckファイルは個別のまま配布することもできるが、バイナリの.pckセクションに埋め込むことも可能とされる。いずれの場合も暗号化することが可能で、Godot Engineはこれら.pckファイルを復号してスクリプトを実行する。

発見されたマルウェアローダー「GodLoader」は、開発初期と後期で構造が異なることが確認されている。初期は暗号化していない.pckファイルをバイナリに埋め込む構造だったが、後期では暗号化した外部ファイルを用いるように変更されている。

  • GodLoaderの仕組み - Check Point

    GodLoaderの仕組み 引用: Check Point

侵害経路

攻撃者は悪意のあるゲームを配布するためにGitHubを利用した。これまでに4回の大規模な配布が試みられ、10月3日に実施された攻撃では100個のユニークなリポジトリーが使用された。

  • マルウェアを配布するリポジトリーの例 - Check Point

    マルウェアを配布するリポジトリーの例 引用: Check Point

GodLoaderは主要なセキュリティソリューションの検出を回避可能とされる。被害者がゲームを起動すると分析およびサンドボックス回避が行われ、Microsoft Defenderを回避して最終ペイロードをダウンロード、実行する。最終ペイロードとしては、クリプトマイニング型マルウェアの「XMRig」、情報窃取マルウェアの「Redline」が確認されている。

  • 侵害経路 - Check Point

    侵害経路 引用: Check Point

影響と対策

Godot Engineはクロスプラットフォームのゲームエンジンで、Windows、Mac、Linux、Android、iOS、HTML5をサポートする。発見されたGodLoaderは調査時点ではWindowsのみを標的としていたが、他の環境への移植も容易とされる。また、既存のゲームに(暗号化の有無にかかわらず)感染することも可能とされ、将来的に海賊版ゲームとして配布される可能性が指摘されている。

Check Pointは同様の攻撃を回避するため、悪意のあるファイルの配布サイトに誘導する不審なメールやメッセージに注意することを推奨している。また、ゲームの開発者には標準のAES暗号によるスクリプトの暗号化ではなく、公開鍵暗号方式によるスクリプトの暗号化を実装するように推奨しており、可能であれば改ざん防止機能を組み込むことが望まれている。