Троян GodRAT атакует финансовые компании, используя стеганографию в изображениях

Злоумышленники рассылали целевым сотрудникам финансовых организаций сообщения, содержащие вложения. Файлы маскировались под финансовые документы, такие как списки клиентов, данные о транзакциях или заявки, но имели опасные расширения .scr (файл скринсейвера) или .pif (файл информации о программе). Запуск такого файла пользователем инициировал сложный процесс заражения.

Ядром атаки является троян GodRAT, созданный на основе открытого исходного кода знаменитого Gh0st RAT. Для усложнения детектирования антивирусными системами attackers применили технику стеганографии. Вредоносный шелл-код, необходимый для дальнейшей работы, был скрыт внутри обычных графических файлов, например, JPEG, которые визуально отображали фальшивые финансовые отчеты. Специальный загрузчик, маскирующийся под системную библиотеку SDL2.dll, извлекал этот код из изображения и исполнял его в памяти легитимного процесса, в данном случае - Valve.exe, подписанного просроченным цифровым сертификатом.

Активированный шелл-код связывался с командным сервером (C2) для загрузки основной нагрузки - самой программы GodRAT. Этот троян обладает широким функционалом для удаленного управления компрометированной системой. Он собирает детальную информацию о жертве: данные об операционной системе, имя компьютера, учетную запись пользователя и название установленного антивирусного программного обеспечения. Для сокрытия передаваемых данных используется тройное XOR-кодирование и сжатие zlib.

GodRAT модулен и поддерживает плагины. В наблюдаемых атаках злоумышленники использовали модуль FileManager, который предоставляет полный контроль над файловой системой: просмотр, копирование, удаление и перемещение файлов, а также выполнение произвольных команд. Для работы с архивами плагин автоматически развертывает в системе утилиту 7zip.

В качестве второстепенной нагрузки для сохранения доступа также применялся известный троян AsyncRAT. Однако главной целью после получения контроля стал сбор учетных данных. С помощью специальных стилеров злоумышленники выкачивали пароли из популярных браузеров Google Chrome и Microsoft Edge. Модули искали файлы баз данных Login Data и ключи шифрования в Local State, после чего сохраняли украденные данные в текстовые файлы на диске.

Анализ кода GodRAT выявил его поразительное сходство с другим трояном на базе Gh0st RAT - AwesomePuppet, активность которого фиксировалась в 2023 году. Сходство наблюдается как в кодовой базе, так и в методах распространения, включая использование уникального параметра командной строки "-Puppet". Это позволяет с высокой долей уверенности утверждать, что GodRAT является эволюционным развитием AwesomePuppet. Оба семейства вредоносных программ, в свою очередь, эксперты связывают с деятельностью киберпреступной группировки Winnti APT, известной своими атаками на финансовые и игровые компании.

Примечательным аспектом является долголетие исходного кода. Gh0st RAT был создан почти два десятилетия назад, но его модифицированные версии продолжают оставаться эффективным инструментом в руках современных злоумышленников. Гибкость открытого кода позволяет кастомизировать троян под конкретные задачи и обходить базовые сигнатуры систем защиты.

По данным исследователей, атака остается активной. Последние случаи заражения были зафиксированы 12 августа 2025 года, в основном на территории Гонконга, ОАЭ и Иордании. Это свидетельствует о продолжающейся целевой кампании против организаций в указанных регионах. Для противодействия подобным угрозам специалисты рекомендуют усилить осторожность при работе с вложениями в мессенджерах, особенно с нестандартными расширениями файлов, и регулярно обновлять комплексные системы безопасности.

IPv4

• 103.237.92.191
• 118.107.46.174
• 118.99.3.33
• 154.91.183.174
• 156.241.134.49
• 47.238.124.68

Domains

• wuwu6.cfd

URLs

• https://holoohg.oss-cn-hongkong.aliyuncs.com/HG.txt

MD5

• 04bf56c6491c5a455efea7dbf94145f1
• 160a80a754fd14679e5a7b5fc4aed672
• 17e71cd415272a6469386f95366d3b64
• 2750d4d40902d123a80d24f0d0acc454
• 31385291c01bb25d635d098f91708905
• 318f5bf9894ac424fd4faf4ba857155e
• 441b35ee7c366d4644dca741f51eb729
• 4ecd2cf02bdf19cdbc5507e85a32c657
• 512778f0de31fcce281d87f00affa4a8
• 58f54b88f2009864db7e7a5d1610d27d
• 5f7087039cb42090003cc9dbb493215e
• 605f25606bb925d61ccc47f0150db674
• 64dfcdd8f511f4c71d19f5a58139f2c0
• 6c12ec3795b082ec8d5e294e6a5d6d01
• 6cad01ca86e8cd5339ff1e8fff4c8558
• 8008375eec7550d6d8e0eaf24389cf81
• 961188d6903866496c954f03ecff2a72
• a6352b2c4a3e00de9e84295c8d505dad
• bb23d0e061a8535f4cb8c6d724839883
• cdd5c08b43238c47087a5d914d61c943
• d09fd377d8566b9d7a5880649a0192b4
• e723258b75fee6fbd8095f0a2ae7e53c
• vcf7100bbb5ceb587f04a1f42939e24ab