Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Trojan GodRAT

Trojan GodRAT

Por Mezo em Malware, Ameaça Persistente Avançada (APT), Ferramentas de Administração Remota
Traduzir Para:

Criminosos cibernéticos estão mais uma vez mirando organizações financeiras, com corretoras e corretoras de valores mobiliários na mira de uma campanha que distribui um trojan de acesso remoto (RAT) até então desconhecido, chamado GodRAT. O ataque se espalha por meio de arquivos .SCR maliciosos disfarçados de documentos financeiros, compartilhados via Skype.

Cargas Ocultas Através da Esteganografia

Investigações recentes mostram que os invasores estão usando esteganografia para ocultar shellcode em arquivos de imagem. Essas instruções ocultas acionam o download do GodRAT de um servidor de Comando e Controle (C2). As evidências sugerem que a campanha está em andamento desde 9 de setembro de 2024, com atividade registrada até 12 de agosto de 2025. As regiões afetadas incluem Hong Kong, Emirados Árabes Unidos, Líbano, Malásia e Jordânia.

De Gh0st RAT para GodRAT

O GodRAT é considerado uma evolução moderna do Gh0st RAT, um trojan cujo código-fonte vazou em 2008 e, desde então, tem sido amplamente adotado por grupos de ameaças chineses. Semelhanças também foram encontradas com o AwesomePuppet, outro derivado do Gh0st RAT exposto em 2023 e atribuído ao prolífico grupo Winnti (APT41).

O malware é projetado com uma estrutura baseada em plug-ins, permitindo que ele colete informações confidenciais e implante cargas úteis adicionais, como o AsyncRAT.

Cadeia de infecção e colapso técnico

O ataque começa com arquivos .SCR atuando como executáveis autoextraíveis. Esses arquivos contêm vários componentes incorporados, incluindo uma DLL maliciosa carregada lateralmente por meio de um executável legítimo. Essa DLL recupera o código shell oculto em uma imagem .JPG, o que, por fim, permite a implantação do GodRAT.

Uma vez ativo, o trojan se conecta ao seu servidor C2 via TCP, coletando dados do sistema e detalhes sobre as ferramentas antivírus instaladas. Após transmitir essas informações, o servidor C2 emite comandos. Essas instruções permitem que o malware:

  • Injetar uma DLL de plugin recebida na memória.
  • Encerra o processo após fechar o soquete.
  • Baixe e execute arquivos usando a API CreateProcessA.
  • Abra URLs específicas por meio de comandos do Internet Explorer

Expandindo Capacidades com Plugins

Um plugin notável, o FileManager DLL, concede aos invasores amplo controle sobre o sistema da vítima. Ele permite buscas, manipulação de arquivos e navegação em pastas, além de servir como ferramenta de distribuição para malware secundário. As cargas úteis confirmadas incluem:

  • Um ladrão de senhas que tem como alvo os navegadores Chrome e Edge
  • O trojan AsyncRAT para exploração posterior

Construtor GodRAT e opções de carga útil

Pesquisadores descobriram o construtor GodRAT e o código-fonte completo do cliente, revelando sua adaptabilidade. O construtor permite que invasores gerem executáveis ou DLLs. Se a rota executável for escolhida, os usuários podem selecionar binários legítimos para injeção de código, incluindo svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe e QQScLauncher.exe.

As cargas úteis resultantes podem ser salvas em vários formatos, incluindo .exe, .com, .bat, .scr e .pif.

Código legado, ameaça moderna

A descoberta do GodRAT destaca como implantes legados como o Gh0st RAT, introduzidos pela primeira vez há quase duas décadas, ainda representam grandes riscos hoje. A adaptação e a readaptação constantes permitem que os invasores mantenham essas ferramentas relevantes, garantindo sua sobrevivência a longo prazo no cenário da segurança cibernética. O GodRAT serve como um lembrete de que mesmo bases de código de malware antigas continuam sendo armas poderosas quando colocadas nas mãos de adversários habilidosos.

Tendendo

Mais visto

Carregando...