Новый RAT распространяется через вредоносные файлы с расширением .scr, замаскированные под финансовые документы. До марта 2025 года злоумышленники рассылали их через Skype, но после его закрытия переключились на другие каналы.

Об обнаружении нового трояна удаленного доступа, получившего название GodRAT, рассказали специалисты «Лаборатории Касперского». По их данным, атакам этого вредоноса в основном подвергаются предприятия малого и среднего бизнеса — главным образом трейдинговые и брокерские компании — в ОАЭ, Гонконге, Иордании и Ливане.

Исходный код GodRAT был замечен в популярном мультисканерном сервисе, куда его загрузили еще в июле 2024 года. После заражения устройства троян собирает сведения об операционной системе, локальном имени хоста, названии вредоносного процесса и его идентификаторе, учетной записи пользователя и установленном защитном софте.

Исследователи отмечают, что GodRAT поддерживает дополнительные плагины. В ходе изученной атаки злоумышленники использовали FileManager для анализа зараженных систем и программы-стилеры для кражи учетных данных в Chrome и Microsoft Edge. Вдобавок к GodRAT они задействовали малварь AsyncRAT в качестве второго импланта, чтобы дольше оставаться в скомпрометированной системе.

Помимо обнаруженного трояна, архив GodRAT V3.5_______dll.rar включает в себя билдер для быстрой сборки GodRAT. Он позволяет выбрать, в какой легитимный файл внедрить вредоносную нагрузку. Кроме того, злоумышленники использовали стеганографию, чтобы скрыть шелл-код в файле изображения с якобы финансовыми данными.