Las instituciones financieras, como las compañías comerciales y de corretaje, son los objetivos de nuevas campañas que ofrecen un troyano de acceso remoto previamente no reportado llamado Godrat.
Las actividades maliciosas incluyen «Distribución de archivos maliciosos .SCR (ScreenSaver) disfrazados de documentos financieros a través de Skype Messenger».
El ataque, que se activa el 12 de agosto de 2025, emplea una técnica llamada esteganografía para ocultarlo dentro del archivo de shell del archivo de imagen utilizado para descargar malware de un servidor de comando y control (C2). Se han detectado artefactos de pantalla de pantalla de pantalla de pantalla de pantalla de captillas desde el 9 de septiembre de 2024 y están atacando a países y territorios como Hong Kong, Emiratos Árabes Unidos, Líbano, Malasia y Jordania.
Godrat se califica como basado en ratas GH0ST y sigue un enfoque basado en complementos que mejora la funcionalidad para cosechar información confidencial y proporcionar cargas útiles secundarias como Asyncrat. Vale la pena mencionar que las ratas GH0st filtraron públicamente su código fuente en 2008 y desde entonces han sido adoptadas por varios grupos de piratería chinos.
La compañía de ciberseguridad rusa dijo que el malware es otra evolución de la puerta trasera basada en ratas conocida como Awesome Puppet, documentada por primera vez en 2023, y se considera el trabajo del prolífico actor de amenaza china Winnti (también conocido como APT41).
Los archivos de ahorro de pantalla actúan como ejecutables autoextrantes que incorporan una variedad de archivos integrados, incluidas las DLL secundarias por ejecuciones legítimos. El DLL extrae el código de shells oculto dentro del archivo de imagen .jpg, allanando el camino para que Godrat se desarrolle.
El troyano establece la comunicación con el servidor C2 a través de TCP, reúne la información del sistema y saca una lista de software antivirus instalado en el host. Los detalles capturados se envían al servidor C2, y el servidor luego responde con un procedimiento de seguimiento que lo permite –
Inserte el complemento recibido en la memoria para cerrar el enchufe y terminar el proceso de rata.
Un complemento descargado por el malware es un Filemanager DLL que le permite enumerar los sistemas de archivos, realizar operaciones de archivos, realizar carpetas abiertas y realizar búsquedas de archivos en ubicaciones especificadas. Este complemento también se usa para ofrecer cargas útiles adicionales, como Google Chrome, los navegadores de Microsoft Edge y los Steelers de contraseña para Asyncrat Trojan.
Kaspersky dijo que descubrió el código fuente completo para el cliente y constructor de Godrat que se cargó al escáner de malware Virustotal Online a fines de julio de 2024. El constructor se puede usar para generar un ejecutable o una DLL A.
Cuando se selecciona la opción ejecutable, el usuario elige seleccionar los binarios legítimos de la lista donde se inyecta el código malicioso en svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, qqmusic.exe y qqsclauncher.exe. La carga útil final se puede guardar en uno de los siguientes tipos de archivos: .exe, .com, .bat, .scr y .pif.
«Las bases de código de implantes más antiguas, como las ratas GH0st de hace casi 20 años, se continúan utilizando hoy», dice Kaspersky. «Estos a menudo son personalizados y reconstruidos para atacar a una amplia gama de víctimas».
«Se sabe que estos implantes más antiguos han sido utilizados durante mucho tiempo por una variedad de actores de amenazas, y los hallazgos de Godrat muestran que las bases de código heredadas como las ratas GH0st aún pueden mantener una larga vida útil en los paisajes de ciberseguridad».
Source link
