GodRAT Trojan
Kriminelët kibernetikë po synojnë përsëri organizatat financiare, me firmat tregtare dhe të ndërmjetësimit në shënjestër të një fushate që po shpërndan një trojan me akses në distancë (RAT) të panjohur më parë të quajtur GodRAT. Sulmi përhapet përmes skedarëve keqdashës .SCR të maskuar si dokumente financiare, të ndarë nëpërmjet Skype Messenger.
Tabela e Përmbajtjes
Ngarkesa të fshehura përmes steganografisë
Hetimet e fundit tregojnë se sulmuesit po përdorin steganografinë për të fshehur kodin shell brenda skedarëve të imazheve. Këto udhëzime të fshehura shkaktojnë shkarkimin e GodRAT nga një server Command-and-Control (C2). Provat sugjerojnë se fushata ka vazhduar që nga 9 shtatori 2024, me aktivitet të regjistruar së fundmi më 12 gusht 2025. Rajonet e prekura përfshijnë Hong Kongun, Emiratet e Bashkuara Arabe, Libanin, Malajzinë dhe Jordaninë.
Nga Gh0st RAT në GodRAT
GodRAT konsiderohet si një evolucion modern i Gh0st RAT, një trojan, kodi burimor i të cilit u zbulua në vitin 2008 dhe që atëherë është përdorur gjerësisht nga grupet kineze të kërcënimeve. Ngjashmëri janë gjetur edhe me AwesomePuppet, një tjetër derivat i Gh0st RAT i ekspozuar në vitin 2023 dhe i atribuuar grupit të frytshëm Winnti (APT41).
Malware është projektuar me një strukturë të bazuar në plugin, duke i mundësuar asaj të mbledhë informacione të ndjeshme dhe të vendosë ngarkesa shtesë si AsyncRAT.
Zinxhiri i Infeksionit dhe Ndarja Teknike
Sulmi fillon me skedarë .SCR që veprojnë si skedarë ekzekutues vetë-nxjerrës. Këta skedarë përmbajnë komponentë të shumtë të integruar, duke përfshirë një DLL keqdashëse të ngarkuar anash përmes një skedari ekzekutues legjitim. Ky DLL rikuperon shellcode të fshehur në një imazh .JPG, i cili në fund të fundit mundëson vendosjen e GodRAT.
Pasi aktivizohet, trojani lidhet me serverin e tij C2 nëpërmjet TCP-së, duke mbledhur të dhëna të sistemit dhe detaje mbi mjetet antivirus të instaluara. Pas transmetimit të këtij informacioni, serveri C2 lëshon komanda. Këto udhëzime i lejojnë malware-it të:
- Injekto një DLL të plugin-it të marrë në kujtesë.
- Përfundoni procesin e tij pas mbylljes së soketit.
- Shkarkoni dhe ekzekutoni skedarët duke përdorur API-n CreateProcessA.
- Hapni URL specifike përmes komandave të Internet Explorer
Zgjerimi i Kapaciteteve me Plugin-e
Një plugin i njohur, FileManager DLL, u jep sulmuesve kontroll të gjerë mbi sistemin e viktimës. Ai mundëson kërkimin e skedarëve, manipulimin dhe shfletimin e dosjeve, ndërsa shërben gjithashtu si një mjet për shpërndarjen e malware-it dytësor. Ngarkesat e konfirmuara përfshijnë:
- Një vjedhës fjalëkalimesh që synon shfletuesit Chrome dhe Edge
- Trojani AsyncRAT për shfrytëzim të mëtejshëm
GodRAT Builder dhe Opsionet e Ngarkesës
Studiuesit zbuluan ndërtuesin GodRAT dhe kodin burimor të plotë të klientit, duke zbuluar përshtatshmërinë e tij. Ndërtuesi u lejon sulmuesve të gjenerojnë ose skedarë ekzekutues ose DLL. Nëse zgjidhet rruga e ekzekutueshme, përdoruesit mund të zgjedhin skedarë binare legjitimë për injektimin e kodit, duke përfshirë svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe dhe QQScLauncher.exe.
Ngarkesat që rezultojnë mund të ruhen në formate të ndryshme, duke përfshirë .exe, .com, .bat, .scr dhe .pif.
Kodi i Trashëguar, Kërcënimi Modern
Zbulimi i GodRAT nxjerr në pah se si implantet e trashëguara si Gh0st RAT — të prezantuara për herë të parë gati dy dekada më parë, ende paraqesin rreziqe të mëdha sot. Përshtatja dhe ripërdorimi i vazhdueshëm u lejojnë sulmuesve t'i mbajnë këto mjete të rëndësishme, duke siguruar mbijetesën e tyre afatgjatë në peizazhin e sigurisë kibernetike. GodRAT shërben si një kujtesë se edhe bazat e kodeve të vjetra të malware mbeten armë të fuqishme kur vendosen në duart e kundërshtarëve të aftë.
