GodRAT Trojan
I criminali informatici stanno nuovamente prendendo di mira le organizzazioni finanziarie, con società di trading e brokeraggio nel mirino di una campagna che diffonde un trojan di accesso remoto (RAT) precedentemente sconosciuto chiamato GodRAT. L'attacco si diffonde tramite file .SCR dannosi camuffati da documenti finanziari, condivisi tramite Skype.
Sommario
Carichi nascosti tramite steganografia
Recenti indagini dimostrano che gli aggressori utilizzano la steganografia per nascondere lo shellcode all'interno dei file immagine. Queste istruzioni nascoste attivano il download di GodRAT da un server di comando e controllo (C2). Le prove suggeriscono che la campagna sia in corso dal 9 settembre 2024, con attività registrate fino al 12 agosto 2025. Le regioni interessate includono Hong Kong, Emirati Arabi Uniti, Libano, Malesia e Giordania.
Da Gh0st RAT a GodRAT
GodRAT è considerato un'evoluzione moderna di Gh0st RAT, un trojan il cui codice sorgente è trapelato nel 2008 e da allora è stato ampiamente adottato dai gruppi di cybercriminali cinesi. Sono state riscontrate somiglianze anche con AwesomePuppet, un altro derivato di Gh0st RAT scoperto nel 2023 e attribuito al prolifico gruppo Winnti (APT41).
Il malware è progettato con una struttura basata su plugin, che gli consente di raccogliere informazioni sensibili e distribuire payload aggiuntivi come AsyncRAT.
Catena di infezione e guasto tecnico
L'attacco inizia con file .SCR che agiscono come eseguibili autoestraenti. Questi file contengono diversi componenti incorporati, tra cui una DLL dannosa trasferita tramite un eseguibile legittimo. Questa DLL recupera lo shellcode nascosto in un'immagine .JPG, che alla fine consente l'implementazione di GodRAT.
Una volta attivo, il trojan si connette al suo server C2 tramite TCP, raccogliendo dati di sistema e dettagli sugli strumenti antivirus installati. Dopo aver trasmesso queste informazioni, il server C2 invia dei comandi. Queste istruzioni consentono al malware di:
- Iniettare nella memoria una DLL del plugin ricevuta.
- Termina il processo dopo aver chiuso il socket.
- Scarica ed esegui i file utilizzando l'API CreateProcessA.
- Aprire URL specifici tramite i comandi di Internet Explorer
Espansione delle capacità con i plugin
Un plugin degno di nota, FileManager DLL, garantisce agli aggressori un ampio controllo sul sistema della vittima. Consente la ricerca di file, la manipolazione e l'esplorazione delle cartelle, fungendo anche da strumento di distribuzione per malware secondario. I payload confermati includono:
- Un ladro di password che prende di mira i browser Chrome ed Edge
- Il trojan AsyncRAT per ulteriori sfruttamenti
Opzioni di GodRAT Builder e Payload
I ricercatori hanno scoperto il builder GodRAT e il codice sorgente completo del client, rivelandone l'adattabilità. Il builder consente agli aggressori di generare file eseguibili o DLL. Se si sceglie il percorso eseguibile, gli utenti possono selezionare file binari legittimi per l'iniezione di codice, tra cui svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe e QQScLauncher.exe.
I payload risultanti possono essere salvati in vari formati, tra cui .exe, .com, .bat, .scr e .pif.
Codice legacy, minaccia moderna
La scoperta di GodRAT evidenzia come gli impianti legacy come Gh0st RAT, introdotti per la prima volta quasi vent'anni fa, rappresentino ancora oggi rischi significativi. Il continuo adattamento e riadattamento consente agli aggressori di mantenere questi strumenti pertinenti, garantendone la sopravvivenza a lungo termine nel panorama della sicurezza informatica. GodRAT ci ricorda che anche i vecchi codici malware rimangono armi potenti se messi nelle mani di avversari esperti.
