Troianul GodRAT

Infractorii cibernetici vizează din nou organizațiile financiare, firmele de tranzacționare și brokeraj fiind vizate de o campanie care transmite un troian de acces la distanță (RAT) necunoscut anterior, numit GodRAT. Atacul se răspândește prin fișiere .SCR malițioase deghizate în documente financiare, partajate prin Skype Messenger.

Sarcini utile ascunse prin steganografie

Investigațiile recente arată că atacatorii folosesc steganografia pentru a ascunde codul shell în fișierele de imagine. Aceste instrucțiuni ascunse declanșează descărcarea GodRAT de pe un server de comandă și control (C2). Dovezile sugerează că această campanie este în desfășurare din 9 septembrie 2024, activitatea fiind înregistrată chiar și pe 12 august 2025. Regiunile afectate includ Hong Kong, Emiratele Arabe Unite, Liban, Malaezia și Iordania.

De la Gh0st RAT la GodRAT

GodRAT este considerat o evoluție modernă a troianului Gh0st RAT, al cărui cod sursă a fost dezvăluit în 2008 și care a fost adoptat pe scară largă de grupurile de amenințări chineze. Asemănări au fost descoperite și cu AwesomePuppet, un alt derivat al Gh0st RAT expus în 2023 și atribuit prolificului grup Winnti (APT41).

Malware-ul este conceput cu o structură bazată pe plugin-uri, permițându-i să colecteze informații sensibile și să implementeze sarcini suplimentare, cum ar fi AsyncRAT.

Lanțul de infecție și defecțiuni tehnice

Atacul începe cu fișiere .SCR care acționează ca executabile autoextragibile. Aceste fișiere conțin mai multe componente încorporate, inclusiv o DLL malițioasă încărcată lateral printr-un executabil legitim. Această DLL preia cod shell ascuns într-o imagine .JPG, ceea ce permite în cele din urmă implementarea GodRAT.

Odată activ, troianul se conectează la serverul său C2 prin TCP, colectând date de sistem și detalii despre instrumentele antivirus instalate. După transmiterea acestor informații, serverul C2 emite comenzi. Aceste instrucțiuni permit malware-ului să:

• Injectează în memorie o DLL a pluginului primită.
• Termină procesul după închiderea socketului.
• Descărcați și executați fișiere folosind API-ul CreateProcessA.
• Deschideți anumite adrese URL prin comenzile Internet Explorer

Extinderea capacităților cu pluginuri

Un plugin notabil, FileManager DLL, oferă atacatorilor control larg asupra sistemului victimei. Acesta permite căutarea, manipularea fișierelor și navigarea prin foldere, servind totodată ca instrument de livrare pentru malware secundar. Payload-urile confirmate includ:

• Un hoț de parole care vizează browserele Chrome și Edge
• Trojanul AsyncRAT pentru exploatare ulterioară

Opțiuni de constructor și sarcină utilă GodRAT

Cercetătorii au descoperit constructorul GodRAT și codul sursă complet al clientului, dezvăluind adaptabilitatea acestuia. Constructorul permite atacatorilor să genereze fie fișiere executabile, fie DLL-uri. Dacă este aleasă ruta executabilă, utilizatorii pot selecta fișiere binare legitime pentru injectarea de cod, inclusiv svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe și QQScLauncher.exe.

Sarcinile utile rezultate pot fi salvate în diverse formate, inclusiv .exe, .com, .bat, .scr și .pif.

Cod Moștenit, Amenințare Modernă

Descoperirea GodRAT evidențiază modul în care implanturile vechi, precum Gh0st RAT - introduse pentru prima dată în urmă cu aproape două decenii, prezintă încă riscuri majore și astăzi. Adaptarea și reutilizarea constantă permit atacatorilor să mențină aceste instrumente relevante, asigurându-le supraviețuirea pe termen lung în peisajul securității cibernetice. GodRAT servește ca o reamintire a faptului că până și bazele de cod vechi ale programelor malware rămân arme puternice atunci când sunt plasate în mâinile unor adversari pricepuți.