Cybersicherheitsexperten der Kaspersky Labs haben eine hochentwickelte neue Malware-Bedrohung identifiziert, die gezielt kleine und mittlere Finanzunternehmen ins Visier nimmt. Der als GodRAT bezeichnete Remote Access Trojaner konzentriert sich primär auf Trading- und Brokerage-Firmen in den Regionen Naher Osten und Asien und stellt eine erhebliche Gefahr für die Finanzbranche dar.
Raffinierte Verbreitungsmethoden durch getarnte Dokumente
Die Angreifer setzen auf eine besonders ausgeklügelte Verteilungsstrategie, bei der sie die Malware als legitime Finanzdokumente mit .scr-Dateiendung tarnen. Ursprünglich nutzten die Cyberkriminellen Skype als primären Verbreitungskanal, passten jedoch nach dessen Schließung im März 2025 ihre Taktiken an alternative Kommunikationsplattformen an.
Besonders bemerkenswert ist der Einsatz von Steganographie-Techniken, bei denen schädlicher Code in harmlosen Bilddateien versteckt wird. Diese Methode ermöglicht es den Angreifern, herkömmliche Sicherheitssysteme zu umgehen, da die infizierten Dateien wie gewöhnliche Finanzgrafiken erscheinen.
Umfassende Systemkompromittierung und Datendiebstahl
Nach erfolgreicher Infiltration demonstriert GodRAT ein breites Spektrum an destruktiven Fähigkeiten. Der Trojaner sammelt systematisch kritische Systeminformationen, einschließlich detaillierter Betriebssystemdaten, Hostnamen, Prozess-Identifikatoren und Benutzerkonteninformationen. Zusätzlich analysiert die Malware installierte Sicherheitssoftware, um Erkennungsmaßnahmen zu umgehen.
Die modulare Architektur von GodRAT unterstützt verschiedene Plugins, wodurch die Funktionalität erheblich erweitert wird. Sicherheitsforscher haben insbesondere den Einsatz eines FileManager-Moduls zur Systemerkundung und spezialisierte Stealer-Programme dokumentiert, die Anmeldedaten aus populären Browsern wie Chrome und Microsoft Edge extrahieren.
Verbindungen zu etablierten Cyberkriminalitätsgruppen
Code-Analysen deuten auf eine Verbindung zwischen GodRAT und der Winnti-Hackergruppe hin. Die Malware stellt eine Weiterentwicklung des zuvor entdeckten AwesomePuppet-Trojaners dar und zeigt Ähnlichkeiten mit dem legendären Gh0st RAT, der seit Jahrzehnten von Hackern eingesetzt wird.
Forscher entdeckten ein Archiv namens „GodRAT V3.5_______dll.rar“, das neben dem eigentlichen Trojaner einen spezialisierten Builder enthält. Dieses Werkzeug ermöglicht es Angreifern, schnell modifizierte Versionen zu erstellen und legitime Dateien für die Einbettung schädlicher Nutzlasten auszuwählen.
Mehrschichtige Persistenz-Strategien
Zur Gewährleistung langfristiger Kontrolle über kompromittierte Systeme implementieren die Cyberkriminellen eine mehrstufige Infektionsstrategie. Neben GodRAT wird zusätzlich der AsyncRAT-Implantat eingesetzt, wodurch redundante Zugangskanäle geschaffen und die Erkennung sowie Entfernung der Bedrohung erschwert werden.
Geografische Verteilung der Angriffe
Telemetriedaten zeigen die höchste GodRAT-Aktivität in vier Schlüsselregionen: Vereinigte Arabische Emirate, Hongkong, Jordanien und Libanon. Diese geografische Konzentration unterstreicht den zielgerichteten Charakter der Kampagne und die Spezialisierung auf Finanzmärkte dieser Jurisdiktionen.
Die Entstehung von GodRAT verdeutlicht die kontinuierliche Evolution von Cyber-Bedrohungen und die Notwendigkeit adaptiver Sicherheitsmaßnahmen. Finanzinstitutionen sollten mehrstufige Sicherheitssysteme implementieren, die fortgeschrittene Erkennungsmethoden, regelmäßige Mitarbeiterschulungen in Cyber-Hygiene und kontinuierliche Netzwerküberwachung zur zeitnahen Identifikation verdächtiger Aktivitäten umfassen.
