Исследователи компании «Лаборатория Касперского» обнаружили новую киберугрозу под названием GodRAT — продвинутый троян удаленного доступа, который целенаправленно атакует предприятия малого и среднего бизнеса в финансовой сфере. Основными жертвами становятся трейдинговые и брокерские компании в регионах Ближнего Востока и Азии.
Методы распространения и маскировки
Злоумышленники используют изощренную схему доставки вредоносного ПО, маскируя троян под легитимные финансовые документы с расширением .scr. До марта 2025 года основным каналом распространения служил мессенджер Skype, однако после его закрытия киберпреступники адаптировались к новым условиям и переключились на альтернативные каналы коммуникации.
Особую опасность представляет использование стеганографии — технологии сокрытия вредоносного кода внутри обычных файлов изображений. Этот метод позволяет обходить традиционные системы защиты, поскольку файл выглядит как обычная картинка с финансовыми данными.
Технические характеристики и возможности
После успешного заражения системы GodRAT демонстрирует широкий спектр деструктивных возможностей. Троян автоматически собирает критически важную информацию о зараженном устройстве, включая:
• Детальные сведения об операционной системе
• Локальное имя хоста и идентификаторы процессов
• Данные учетных записей пользователей
• Информацию об установленном защитном программном обеспечении
Модульная архитектура трояна поддерживает дополнительные плагины, что значительно расширяет его функциональность. В ходе анализа специалисты обнаружили использование модуля FileManager для исследования зараженных систем и специализированных программ-стилеров для кражи учетных данных из популярных браузеров Chrome и Microsoft Edge.
Связь с известными киберпреступными группировками
Анализ кода и методов работы GodRAT указывает на его связь с кибергруппой Winnti и представляет собой эволюционное развитие ранее обнаруженного трояна AwesomePuppet. Сходство с легендарным Gh0st RAT, который активно используется хакерами уже несколько десятилетий, подтверждает преемственность в разработке современных киберугроз.
Архив с инструментом, обнаруженный исследователями под названием «GodRAT V3.5_______dll.rar», содержит не только сам троян, но и специальный билдер для быстрой сборки модифицированных версий. Этот инструмент позволяет злоумышленникам выбирать легитимные файлы для внедрения вредоносной нагрузки, что существенно упрощает процесс создания новых вариантов угрозы.
Стратегия долговременного присутствия
Для обеспечения длительного контроля над скомпрометированными системами киберпреступники используют многоуровневую стратегию заражения. Помимо основного трояна GodRAT, они развертывают дополнительный имплант AsyncRAT, что создает резервные каналы доступа и усложняет процесс обнаружения и удаления угрозы.
Географическое распределение атак
Согласно телеметрическим данным, наибольшая активность GodRAT зафиксирована в четырех ключевых регионах: ОАЭ, Гонконге, Иордании и Ливане. Такое географическое распределение указывает на целенаправленный характер кампании и специализацию на финансовых рынках этих юрисдикций.
Появление GodRAT демонстрирует постоянную эволюцию киберугроз и необходимость адаптации защитных мер к новым реалиям. Финансовым организациям критически важно внедрить многоуровневые системы безопасности, включающие продвинутые методы детектирования, регулярное обучение сотрудников основам кибергигиены и постоянный мониторинг сетевой активности для своевременного выявления подозрительного поведения.
