GodRAT: скрытый троянец для удалённого доступа маскируется под финансовые файлы

Специалисты из Глобального центра исследования и анализа угроз (Kaspersky GReAT) «Лаборатории Касперского» раскрыли очередную вредоносную программу для удаленного доступа к компьютерам, названную GodRAT.

Злоумышленники рассылают ее через поддельные финансовые документы, которые на самом деле являются вредоносными файлами с расширением .scr. Изначально атаки велись через Skype, но с марта текущего года киберпреступники перешли на альтернативные каналы распространения.

Основными жертвами стали компании малого и среднего бизнеса, прежде всего действующие в отрасли трейдинга и брокерских услуг, из ОАЭ, Гонконга, Иордании и Ливана.

Что представляет собой GodRAT?

Исходный код этого троянца был обнаружен в одном из популярных онлайн-сервисов для проверки файлов на вирусы, куда он был загружен еще в июле 2024 года.

По завершении проникновения на устройство GodRAT собирает разнообразную информацию: данные об ОС, имени компьютера в сети, запущенных процессах, учетной записи пользователя и установленных антивирусных решениях.

Как работают преступники?

GodRAT обладает модульной структурой и совместим с дополнительными плагинами, это расширяет его возможности. В рамках проанализированной атаки, преступники применяли модуль FileManager с целью изучения зараженных систем и специальные программы-воры (стилеры) ради кражи логинов и паролей из браузеров Chrome и Microsoft Edge.

Для большей эффективности и скрытности вместе с GodRAT использовался и другой троянец — AsyncRAT, что позволяло дольше оставаться незамеченными в системе.

Атакующие прилагают значительные усилия, чтобы скрыть свое присутствие. Помимо самого троянца, в распоряжении экспертов оказался так называемый билдер — это средство, обеспечивающее сборку GodRAT. Он дает возможность выбирать легитимный файл, в который будет внедрен вредоносный код.

К тому же, преступники применяли стеганографию — технику сокрытия информации внутри изображения. В данном случае в файле с якобы финансовой информацией был спрятан вредоносный шелл-код.

Мнение эксперта

«GodRAT — это усовершенствованная версия троянца AwesomePuppet, обнаруженного нами в 2023 году и возможно связанного с кибергруппировкой Winnti. На связь между этими угрозами свидетельствуют схожие способы распространения, конкретные команды, которые используются для запуска, фрагменты кода, почти идентичные коду давно известного троянца Gh0st RAT, и одинаковые следы в системе. Преступники зачастую дорабатывают и модифицируют прошлые злонамеренные дистрибутивы, с целью максимального охвата жертв. Данный случай наглядно иллюстрирует, что инструменты, созданные много лет назад, по-прежнему входят в арсенал злоумышленников и представляют реальную опасность в текущих условиях», — прокомментировал Леонид Безвершенко, старший эксперт Kaspersky GReAT

Рекомендации по безопасности

Чтобы обезопасить себя от аналогичных атак, «Лаборатория Касперского» советует предприятьям:

• Постоянно осуществлять обучение работников основам IT-безопасности, а также учить их идентифицировать фишинговые письма. Среди доступных инструментов можно выделить Kaspersky Automated Security Awareness Platform.
• Внедрять многосторонние продукты с целью безопасности компьютерной техники, каковые способны обнаруживать и останавливать кибератаки в самом начале, такие как продукты из серии Kaspersky Symphony.

Справка о Kaspersky GReAT

Kaspersky GReAT, всемирный штаб по изучению и оценке угроз международного масштаба, ведет свою историю с 2008 года. Главное назначение — нахождение и анализ самых сложных кибератак, кампаний по кибершпионажу, новых способов заражения и уязвимостей нулевого дня. На текущий момент в составе штаба работают свыше тридцати профессионалов, действующих по всему миру — от Европы до Азии, включая РФ, Южную Америку и Ближний Восток. Они знамениты собственными успехами в расследовании преимущественно непростых инцидентов, включая кампании кибершпионажа и саботажа.

Хотите узнать больше о решениях Лаборатории Касперского? Обратитесь к нам за профессиональной консультацией.

Свяжитесь с нами сейчас по номеру +7 (495) 984-33-83 или отправьте заявку на нашу почту: shop@spectrasoft.ru и обеспечьте надежную кибербезопасность уже сегодня.