Новый RAT распространяется через вредоносные файлы с расширением .scr, замаскированные под финансовые документы. До марта 2025 года злоумышленники рассылали их через Skype, но после его закрытия переключились на другие каналы.

Об обнаружении нового трояна удаленного доступа, получившего название GodRAT, рассказали специалисты «Лаборатории Касперского». По их данным, атакам этого вредоноса в основном подвергаются предприятия малого и среднего бизнеса — главным образом трейдинговые и брокерские компании — в ОАЭ, Гонконге, Иордании и Ливане.

Исходный код GodRAT был замечен в популярном мультисканерном сервисе, куда его загрузили еще в июле 2024 года. После заражения устройства троян собирает сведения об операционной системе, локальном имени хоста, названии вредоносного процесса и его идентификаторе, учетной записи пользователя и установленном защитном софте.

Исследователи отмечают, что GodRAT поддерживает дополнительные плагины. В ходе изученной атаки злоумышленники использовали FileManager для анализа зараженных систем и программы-стилеры для кражи учетных данных в Chrome и Microsoft Edge. Вдобавок к GodRAT они задействовали малварь AsyncRAT в качестве второго импланта, чтобы дольше оставаться в скомпрометированной системе.

Помимо обнаруженного трояна, архив GodRAT V3.5_______dll.rar включает в себя билдер для быстрой сборки GodRAT. Он позволяет выбрать, в какой легитимный файл внедрить вредоносную нагрузку. Кроме того, злоумышленники использовали стеганографию, чтобы скрыть шелл-код в файле изображения с якобы финансовыми данными.

«GodRAT — это эволюционировавший AwesomePuppet, который мы нашли в 2023 году и который, вероятно, связан с кибергруппой Winnti. На связь зловредов указывают методы дистрибуции, определенные параметры командной строки, сходство кода с широко известным Gh0st RAT, который существует уже несколько десятилетий, и общие артефакты. Злоумышленники часто кастомизируют и переделывают старые импланты, чтобы охватить как можно больше жертв. Обнаруженный троян подтверждает, что даже инструменты с многолетней историей могут быть частью современного ландшафта киберугроз», — комментирует Леонид Безвершенко, старший эксперт Kaspersky GReAT.

 

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии