Эксперты Kaspersky GReAT сообщили о новом трояне под названием GodRAT.
Злоумышленники распространяют его через вредоносные файлы с расширением .scr, замаскированные под финансовые документы.
До весны 2025 года такие «документы» рассылали в Skype, а потом переключились на другие каналы. Основными жертвами стали компании малого и среднего бизнеса, в первую очередь трейдинговые и брокерские фирмы в ОАЭ, Гонконге, Иордании и Ливане.
Что умеет GodRAT?
После заражения троян собирает данные о системе: ОС, имя хоста, учётку пользователя, запущенные процессы и даже установленное защитное ПО. Исследователи также выяснили, что он поддерживает плагины. В зафиксированных атаках использовались, например, FileManager для анализа заражённых машин и стилеры для кражи паролей в Chrome и Edge.
Параллельно атакующие запускали ещё один зловред — AsyncRAT, чтобы дольше оставаться в системе. Интересно, что вместе с самим вредоносом распространялся архив GodRAT V3.5_______dll.rar, внутри которого был билдер — инструмент для быстрой сборки GodRAT. С его помощью злоумышленники могут выбрать, в какой «легитимный» файл вшить зловред.
Дополнительно они применяли стеганографию: прятали шелл-код прямо в картинке, изображающей якобы финансовые данные. По словам Леонида Безвершенко, старшего эксперта Kaspersky GReAT, GodRAT — это по сути «эволюция» обнаруженного в 2023 году зловреда AwesomePuppet, который связывают с кибергруппой Winnti. На это указывают и схожие методы распространения, и параметры командной строки, и сходство кода с легендарным Gh0st RAT, существующим уже десятилетиями.
«Злоумышленники часто кастомизируют и переделывают старые импланты, чтобы охватить как можно больше жертв. Обнаруженный троянец подтверждает, что даже инструменты с многолетней историей могут быть частью современного ландшафта киберугроз», — подчёркивает эксперт.
Злоумышленники распространяют его через вредоносные файлы с расширением .scr, замаскированные под финансовые документы.
До весны 2025 года такие «документы» рассылали в Skype, а потом переключились на другие каналы. Основными жертвами стали компании малого и среднего бизнеса, в первую очередь трейдинговые и брокерские фирмы в ОАЭ, Гонконге, Иордании и Ливане.
Что умеет GodRAT?
После заражения троян собирает данные о системе: ОС, имя хоста, учётку пользователя, запущенные процессы и даже установленное защитное ПО. Исследователи также выяснили, что он поддерживает плагины. В зафиксированных атаках использовались, например, FileManager для анализа заражённых машин и стилеры для кражи паролей в Chrome и Edge.
Параллельно атакующие запускали ещё один зловред — AsyncRAT, чтобы дольше оставаться в системе. Интересно, что вместе с самим вредоносом распространялся архив GodRAT V3.5_______dll.rar, внутри которого был билдер — инструмент для быстрой сборки GodRAT. С его помощью злоумышленники могут выбрать, в какой «легитимный» файл вшить зловред.
Дополнительно они применяли стеганографию: прятали шелл-код прямо в картинке, изображающей якобы финансовые данные. По словам Леонида Безвершенко, старшего эксперта Kaspersky GReAT, GodRAT — это по сути «эволюция» обнаруженного в 2023 году зловреда AwesomePuppet, который связывают с кибергруппой Winnti. На это указывают и схожие методы распространения, и параметры командной строки, и сходство кода с легендарным Gh0st RAT, существующим уже десятилетиями.
«Злоумышленники часто кастомизируют и переделывают старые импланты, чтобы охватить как можно больше жертв. Обнаруженный троянец подтверждает, что даже инструменты с многолетней историей могут быть частью современного ландшафта киберугроз», — подчёркивает эксперт.
