GodRAT тројански кон
Сајбер криминалци поново циљају финансијске организације, а трговачке и брокерске фирме су на мети кампање која испоручује раније непознатог тројанца за удаљени приступ (RAT) под називом GodRAT. Напад се шири путем злонамерних .SCR датотека прерушених у финансијске документе, које се деле путем Скајп месинџера.
Преглед садржаја
Скривени корисни терет кроз стеганографију
Недавне истраге показују да нападачи користе стеганографију да би сакрили шелкод унутар датотека слика. Ове скривене инструкције покрећу преузимање GodRAT-а са командног и контролног (C2) сервера. Докази указују на то да кампања траје од 9. септембра 2024. године, а активност је забележена најскорије 12. августа 2025. године. Погођени региони укључују Хонг Конг, УАЕ, Либан, Малезију и Јордан.
Од Gh0st RAT-а до GodRAT-а
GodRAT се сматра модерном еволуцијом Gh0st RAT-а, тројанца чији је изворни код процурео 2008. године и од тада су га широко усвојиле кинеске претњичке групе. Сличности су пронађене и са AwesomePuppet-ом, још једним дериватом Gh0st RAT-а откривеним 2023. године и приписивању плодној групи Winnti (APT41).
Злонамерни софтвер је дизајниран са структуром заснованом на додацима, што му омогућава прикупљање осетљивих информација и распоређивање додатних корисних садржаја као што је AsyncRAT.
Ланац инфекције и технички слом
Напад почиње са .SCR датотекама које се понашају као самораспакујуће извршне датотеке. Ове датотеке садрже више уграђених компоненти, укључујући злонамерну DLL датотеку која се учитује преко легитимне извршне датотеке. Ова DLL датотека преузима шелкод скривен у .JPG слици, што на крају омогућава имплементацију GodRAT-а.
Када се активира, тројански кон се повезује са својим C2 сервером путем TCP-а, прикупљајући системске податке и детаље о инсталираним антивирусним алатима. Након што пренесе ове информације, C2 сервер издаје команде. Ове инструкције омогућавају злонамерном софтверу да:
- Убризгајте примљени DLL додатак у меморију.
- Завршите процес након затварања сокета.
- Преузмите и извршите датотеке користећи CreateProcessA API.
- Отварање одређених URL адреса помоћу команди Internet Explorer-а
Проширивање могућности помоћу додатака
Један значајан додатак, FileManager DLL, даје нападачима широку контролу над системом жртве. Омогућава претрагу датотека, манипулацију и прегледање фасцикли, а истовремено служи као алат за испоруку секундарног злонамерног софтвера. Потврђени корисни садржаји укључују:
- Крађа лозинки циља на прегледаче Chrome и Edge
- Тројанац AsyncRAT за даљу експлоатацију
GodRAT Builder и опције корисног оптерећења
Истраживачи су открили GodRAT креатор и комплетан изворни код клијента, откривајући његову прилагодљивост. Креатор омогућава нападачима да генеришу или извршне датотеке или DLL датотеке. Ако се изабере извршна рута, корисници могу да изаберу легитимне бинарне датотеке за убризгавање кода, укључујући svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe и QQScLauncher.exe.
Добијени корисни подаци могу се сачувати у различитим форматима, укључујући .exe, .com, .bat, .scr и .pif.
Застарели код, модерна претња
Откриће GodRAT-а истиче како застарели имплантати попут Gh0st RAT-а — први пут представљеног пре скоро две деценије, и данас представљају велике ризике. Стална адаптација и пренамена омогућавају нападачима да ове алате одрже релевантним, осигуравајући њихов дугорочни опстанак у сајбер безбедносном окружењу. GodRAT служи као подсетник да чак и старе базе кодова злонамерног софтвера остају моћно оружје када се ставе у руке вештих противника.
