GodRAT Trojan
Cyberkriminelle går endnu engang efter finansielle organisationer, hvor handels- og mæglerfirmaer er i sigtekornet for en kampagne, der leverer en hidtil ukendt fjernadgangstrojan (RAT) ved navn GodRAT. Angrebet spreder sig via ondsindede .SCR-filer forklædt som finansielle dokumenter, der deles via Skype Messenger.
Indholdsfortegnelse
Skjulte nyttelaster gennem steganografi
Nylige undersøgelser viser, at angriberne bruger steganografi til at skjule shellcode i billedfiler. Disse skjulte instruktioner udløser download af GodRAT fra en Command-and-Control (C2) server. Beviser tyder på, at kampagnen har været i gang siden 9. september 2024, med aktivitet registreret så sent som 12. august 2025. De berørte regioner omfatter Hongkong, UAE, Libanon, Malaysia og Jordan.
Fra den ædleste rotte til den guddommelige rotte
GodRAT betragtes som en moderne udvikling af Gh0st RAT, en trojaner, hvis kildekode lækkede i 2008 og siden er blevet bredt anvendt af kinesiske trusselsgrupper. Ligheder er også blevet fundet med AwesomePuppet, en anden Gh0st RAT-derivat, der blev afsløret i 2023 og tilskrevet den produktive gruppe Winnti (APT41).
Malwaren er designet med en plugin-baseret struktur, der gør det muligt for den at indsamle følsomme oplysninger og implementere yderligere nyttelast, såsom AsyncRAT.
Infektionskæde og teknisk nedbrydning
Angrebet starter med .SCR-filer, der fungerer som selvudpakkende eksekverbare filer. Disse filer indeholder flere indlejrede komponenter, herunder en ondsindet DLL, der sideloades via en legitim eksekverbar fil. Denne DLL henter shellcode gemt i et .JPG-billede, hvilket i sidste ende muliggør implementeringen af GodRAT.
Når den er aktiv, opretter trojaneren forbindelse til sin C2-server via TCP og indsamler systemdata og detaljer om installerede antivirusværktøjer. Efter at have overført disse oplysninger udsteder C2-serveren kommandoer. Disse instruktioner giver malwaren mulighed for at:
- Indsæt en modtaget plugin-DLL i hukommelsen.
- Afslut processen efter lukning af sockelen.
- Download og udfør filer ved hjælp af CreateProcessA API'en.
- Åbn specifikke URL'er via Internet Explorer-kommandoer
Udvidelse af muligheder med plugins
Et bemærkelsesværdigt plugin, FileManager DLL, giver angribere bred kontrol over offerets system. Det muliggør filsøgning, manipulation og mappesøgning, samtidig med at det fungerer som et leveringsværktøj til sekundær malware. Bekræftede nyttelast inkluderer:
- En adgangskodetyver rettet mod Chrome- og Edge-browsere
- AsyncRAT-trojaneren til yderligere udnyttelse
GodRAT Builder og nyttelastmuligheder
Forskere afdækkede GodRAT-builderen og den fulde klientkildekode, hvilket afslører dens tilpasningsevne. Builderen giver angribere mulighed for at generere enten eksekverbare filer eller DLL'er. Hvis den eksekverbare rute vælges, kan brugerne vælge legitime binære filer til kodeindsprøjtning, herunder svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe og QQScLauncher.exe.
De resulterende nyttelast kan gemmes i forskellige formater, herunder .exe, .com, .bat, .scr og .pif.
Ældre kode, moderne trussel
Opdagelsen af GodRAT fremhæver, hvordan ældre implantater som Gh0st RAT – der først blev introduceret for næsten to årtier siden – stadig udgør store risici i dag. Konstant tilpasning og genbrug giver angribere mulighed for at holde disse værktøjer relevante og dermed sikre deres langsigtede overlevelse i cybersikkerhedslandskabet. GodRAT tjener som en påmindelse om, at selv gamle malware-kodebaser forbliver kraftfulde våben, når de placeres i hænderne på dygtige modstandere.
