Instituições financeiras, como empresas de negociação e corretagem, estão sendo alvo de uma nova campanha que distribui um trojan de acesso remoto ainda não reportado anteriormente, chamado GodRAT.
A atividade maliciosa envolve a “distribuição de arquivos .SCR (protetor de tela) maliciosos disfarçados de documentos financeiros via mensageiro Skype,” disse o pesquisador da Kaspersky, Saurabh Sharma, em uma análise técnica publicada hoje.
Os ataques, que estiveram ativos inclusivamente no dia 12 de agosto de 2025, empregam uma técnica chamada esteganografia para ocultar dentro de arquivos de imagem o shellcode usado para baixar o malware de um servidor de comando e controle (C2).
Os artefatos do protetor de tela foram detectados desde 9 de setembro de 2024, visando países e territórios como Hong Kong, os Emirados Árabes Unidos, Líbano, Malásia e Jordânia.
Avaliado como baseado no Gh0st RAT, o GodRAT segue uma abordagem baseada em plugins para aumentar sua funcionalidade a fim de coletar informações sensíveis e entregar payloads secundários como AsyncRAT.
Vale mencionar que o Gh0st RAT teve seu código fonte vazado publicamente em 2008 e desde então tem sido adotado por vários grupos de hacking chineses.
A empresa de cibersegurança russa disse que o malware é uma evolução de outro backdoor baseado em Gh0st RAT conhecido como AwesomePuppet, que foi documentado pela primeira vez em 2023 e provavelmente é considerado obra do prolífico ator de ameaças chinês, Winnti (também conhecido como APT41).
Os arquivos do protetor de tela atuam como um executável autoextraível incorporando vários arquivos embutidos, incluindo uma DLL maliciosa que é carregada lateralmente por um executável legítimo.
A DLL extrai o shellcode oculto dentro de um arquivo de imagem .JPG que, então, abre caminho para a implantação do GodRAT.
O trojan, por sua parte, estabelece comunicação com o servidor C2 via TCP, coleta informações do sistema e puxa a lista de softwares antivírus instalados no host.
Os detalhes capturados são enviados ao servidor C2, após o qual o servidor responde com instruções de acompanhamento que permitem que ele:
- Insira um plugin DLL recebido na memória;
- Feche o soquete e termine o processo RAT;
- Baixe um arquivo de uma URL fornecida e inicie-o usando a API CreateProcessA;
- Abra uma URL dada usando o comando shell para abrir o Internet Explorer.
Um dos plugins baixados pelo malware é um FileManager DLL que pode enumerar o sistema de arquivos, realizar operações de arquivo, abrir pastas e até mesmo realizar buscas por arquivos em uma localização especificada.
O plugin também tem sido usado para entregar payloads úteis adicionais, como um ladrão de senhas para os navegadores Google Chrome e Microsoft Edge e o trojan AsyncRAT.
Kaspersky disse que descobriu o código fonte completo do cliente GodRAT e do construtor que foi carregado para o scanner de malware online VirusTotal no final de julho de 2024.
O construtor pode ser usado para gerar um arquivo executável ou uma DLL.
Quando a opção executável é escolhida, os usuários têm a escolha de selecionar um binário legítimo de uma lista no qual o código malicioso é injetado: svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe e QQScLauncher.exe.
O payload final pode ser salva com um dos seguintes tipos de arquivo: .exe, .com, .bat, .scr, e .pif.
"Bases de códigos de implantes antigos, como Gh0st RAT, que têm quase duas décadas, continuam a ser usadas hoje em dia," disse a Kaspersky.
"Essas muitas vezes são personalizadas e reconstruídas para visar uma ampla gama de vítimas."
"Esses implantes antigos são conhecidos por terem sido usados por vários atores de ameaças por muito tempo, e a descoberta do GodRAT demonstra que bases de códigos legadas como Gh0st RAT ainda podem manter uma longa vida útil no cenário da cibersegurança."
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...