Исследователи Лаборатории Касперского сообщают о новой кампании, нацеленной на финансовый сектор с использованием ранее неизвестного трояна удаленного доступа GodRAT.

Вредоносная активность реализуется посредством распространения вредоносных файлов .SCR, замаскированных под финансовые документы через Skype.

Атаки активизировались 12 августа и задействуют технологию стеганографии для сокрытия в файлах изображений шелл-кода, используемого для загрузки вредоносного ПО с C2.

Причем артефакты прослеживаются с 9 сентября 2024 года и затрагивают Гонконг, ОАЭ, Ливан, Малайзию и Иорданию.

GodRAT, по всей видимости, основанный на Gh0st RAT, реализует плагины для расширения своей функциональности, позволяя собирать конфиденциальную информацию и доставлять вторичные полезные данные, такие как AsyncRAT.

Исходный код Gh0st RAT был опубликован еще в 2008 году и с тех пор использовался различными китайскими хакерскими группами.

Лаборатория Касперского полагает, что вредоносная ПО представляет собой эволюцию другого бэкдора на базе Gh0st RAT, известного как AwesomePuppet, который был впервые задокументирован в 2023 и, вероятно, связан с Winnti (APT41).

SCR-файлы представляют собой самораспаковывающийся исполняемый файл, содержащий различные встроенные файлы, включая вредоносную DLL, загружаемую легитимным исполняемым файлом.

DLL-библиотека извлекает шелл-код, скрытый в файле изображения JPG, который затем открывает путь для развертывания GodRAT.

Троян, в свою очередь, устанавливает соединение с C2 по протоколу TCP, собирает информацию о системе и извлекает список установленных на хосте антивирусов.

Полученные данные отправляются на сервер C2, после чего тот отвечает дальнейшими инструкциями, позволяющими внедрить полученный плагин DLL в память, завершить процесс RAT, загрузить файл по указанному URL-адресу и запустите его с помощью API CreateProcessA, а также отрыть URL-адрес с помощью команды оболочки в Internet Explorer.

Один из плагинов представляет собой DLL-библиотеку FileManager, которая может выполнять операции с файлами, открывать папки и даже искать файлы в указанном месте.

Плагин также использовался для доставки дополнительных вредоносных ПО, в том числе для кражи паролей для браузеров Google Chrome и Microsoft Edge, а также троян AsyncRAT.

Исследователи обнаружили полный исходный код клиента и сборщика GodRAT, который был загружен в VirusTotal в конце июля 2024 года. Сборщик может использоваться для создания как исполняемого файла, так и DLL-библиотеки.

При выборе варианта исполнения пользователи могут выбрать легитимный двоичный файл из списка, в который внедряется вредоносный код: svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe и QQScLauncher.exe. Конечный файл может сохраняться в exe, com, bat, scr и pif.

Как отмечают исследователи, старые импланты долгое время использовались различными злоумышленниками, и обнаружение GodRAT демонстрирует, что устаревшие кодовые базы, такие как Gh0st RAT, могут по-прежнему долго существовать на ландшафте угроз.