Киберпреступники активно используют усовершенствованный троянец удаленного доступа GodRAT для целевых атак на финансовые организации по всему миру. Вредоносная программа, основанная на коде известного Gh0st RAT, распространяется через мессенджер Skype и применяет сложные техники маскировки, включая стеганографию, для скрытия вредоносной нагрузки в изображениях. Атаки направлены на трейдинговые и брокерские компании, а целью злоумышленников является кража учетных данных, получение постоянного доступа к системам и сбор конфиденциальной информации.
Описание
По данным экспертов по кибербезопасности, GodRAT первоначально попадает на компьютеры жертв через файлы с расширениями .scr (файлы заставок) и .pif (файлы информации о программе), которые маскируются под финансовые документы. Эти файлы распространяются через Skype, что позволяет злоумышленникам использовать доверие пользователей к этому каналу связи. После запуска вредоносный код внедряется в систему, используя несколько этапов загрузки.
Одной из ключевых особенностей GodRAT является применение стеганографии - техники, позволяющей скрыть shellcode (вредоносный код) внутри обычных изображений. Это значительно усложняет обнаружение угрозы традиционными антивирусными решениями. Кроме того, для придания легитимности одна из версий нагрузчика использует исполняемый файл, подписанный просроченным сертификатом DigiCert.
После декодирования конфигурационных данных, защищенных XOR-шифрованием, троянец устанавливает соединение с командным сервером (C2), откуда загружает второй этап вредоносной нагрузки - DLL-библиотеку, упакованную с помощью UPX. GodRAT может внедряться в легитимные процессы, такие как curl.exe или cmd.exe, используя параметр “-Puppet”, что также характерно для другого троянца - AwesomePuppet.
Функциональность GodRAT включает сбор системной информации: данных об операционной системе, имени хоста, запущенных процессах и установленных антивирусах. Собранные данные сжимаются с помощью zlib, шифруются и отправляются на сервер злоумышленников. Троянец также поддерживает команды для загрузки и выполнения файлов, открытия URL-адресов и манипуляций с файловой системой.
Важным компонентом атаки является плагин FileManager, который предоставляет злоумышленникам широкие возможности по управлению файловой системой жертвы: просмотр, чтение, запись, удаление файлов, создание директорий и выполнение команд через скрытую утилиту 7zip. Это позволяет не только собирать данные, но и подготавливать среду для дальнейших действий.
В дополнение к GodRAT злоумышленники устанавливают на зараженные системы AsyncRAT - другой троянец удаленного доступа, написанный на C#. AsyncRAT обходит механизмы безопасности, такие как AMSI (Antimalware Scan Interface) и ETW (Event Tracing for Windows), что обеспечивает ему устойчивость и возможность длительного присутствия в системе. Также используются специализированные стилеры паролей для браузеров Chrome и Microsoft Edge, которые извлекают учетные данные из локальных баз данных.
География атак охватывает Гонконг, ОАЭ, Ливан, Малайзию и Иорданию. По последним данным, активность GodRAT фиксировалась в августе 2025 года, что свидетельствует о продолжении кампании. Исходный код троянца был впервые обнаружен в июле 2024 года, и анализ показал его прямую связь с кодом Gh0st RAT, включая идентичные методы генерации UID.
Эксперты отмечают, что GodRAT, вероятно, является эволюцией троянца AwesomePuppet и может быть связан с китайско-говорящей группировкой Winnti, которая известна своими атаками на финансовый и игровой сектора. Это подчеркивает тенденцию использования и адаптации старых, но проверенных кодовых баз, таких как Gh0st RAT, в современных кибератаках.
Индикаторы компрометации
SHA256
- 48d0d162bd408f32f8909d08b8e60a21b49db02380a13d366802d22d4250c4e7
- da34b4041090eafb852985866dd9fc5c435b5654a4c671a2c7f73be2804e2c22
- e26efc253a47bf311abff125f53f860c0cabaa58592b3407de1380a6d3170265
- ed1dfd2e913e1c53d9f9ab5b418f84e0f401abfdf8e3349e1fcfc98663dcb23f
